El World Wide Web Consortium y Fido Alliance anuncian a WebAuthn: ¿Qué significa eso?

WebAuthn - an Official Web Standard

Por lo general, no se le presentan tantas opciones cuando crea una nueva cuenta en línea. Obviamente, debe crear una contraseña, y para la mayoría de las personas, esto significa seguir una de dos rutas: una contraseña simple, fácil de recordar y / o reutilizada que ponga en riesgo sus cuentas; o una contraseña larga y difícil de adivinar, que es una molestia para escribir y un dolor para recordar. No hay que decir que ambas opciones no son exactamente ideales. Entonces, ¿hay algo que pueda cambiar la forma en que están las cosas en este momento? Bueno, lo hay, y en realidad podría estar yendo a alguna parte.

WebAuthn: la alternativa sin contraseña

WebAuthn, abreviatura de Web Authentication, es un estándar no patentado que facilita la comunicación entre sitios web y un dispositivo de seguridad. Dos consorcios en línea, el Consorcio World Wide Web (WC3) y la Alianza FIDO, han estado trabajando en él durante los últimos años, pero el concepto puede rastrearse desde el API del Factor de Autenticación Universal (UAF) de FIDO Alliance desde 2014.

El objetivo de WebAuthn y UAF es proporcionar una forma nueva y segura de iniciar sesión en cuentas en línea sin la necesidad de recordar o ingresar contraseñas. Por una variedad de razones complicadas, UAF no logró causar una impresión en nuestra vida cotidiana, pero parece que WebAuthn podría ser diferente.

El lunes, WC3 y FIDO anunciaron que WebAuthn es ahora un estándar web oficial. En términos simples, esto significa que los expertos tienen la confianza suficiente para comenzar a aconsejar a los desarrolladores web y de aplicaciones que lo implementen en sus productos. Para comprender cómo nos afectará todo esto, debemos analizar cómo funciona WebAuthn.

¿Cómo funciona WebAuthn?

Desde la perspectiva del usuario, las cosas son bastante sencillas. La idea es que, en lugar de ingresar un nombre de usuario y una contraseña, utilice los mecanismos de autenticación biométrica en su computadora o teléfono inteligente, o utilice un token de hardware que pueda llevarse en un llavero y funcione con USB, NFC, Bluetooth o Un protocolo de comunicación similar. No hay credenciales de inicio de sesión en absoluto, lo que parece un concepto atractivo. Pero, ¿qué pasa con el aspecto de seguridad?

Si bien el proceso es simple, detrás de escena, un inicio de sesión de WebAuthn es una operación bastante compleja. Todo se basa en la criptografía de clave pública (también conocida como asimétrica), lo que significa que hay dos claves involucradas: una pública y otra privada. Cada una de sus cuentas obtiene un par de claves criptográficas que su computadora o token de hardware genera al registrarse. La clave pública se envía al proveedor de servicios y la privada se almacena en su dispositivo. Cuando intenta iniciar sesión, el proveedor de servicios envía un desafío que su dispositivo firma y cifra con su clave privada. La única forma de descifrar el desafío y ver la firma es con su clave pública, que es cómo el proveedor de servicios sabe que usted es quien dice ser.

Hay más de unos pocos beneficios de seguridad para este esquema. En primer lugar, iniciar sesión requiere dos claves almacenadas en dos ubicaciones diferentes. Incluso si los delincuentes de alguna manera logran robar o interceptar su clave pública, no tendrán forma de iniciar sesión sin la privada que, como recordarán, nunca abandona su dispositivo.

Además, a diferencia de las contraseñas, las claves criptográficas no se pueden adivinar rellenas , reutilizadas o suplantadas . En otras palabras, la mayoría de los ataques que tradicionalmente funcionan con contraseñas no son efectivos contra un esquema de WebAuthn.

El nuevo estándar web es notable porque es uno de los pocos ejemplos de una innovación tecnológica que no solo mejora la usabilidad sino que también resulta en una mejor seguridad.

Entonces, la contraseña está muerta, entonces, ¿verdad?

Si bien es algo que esperamos, consideramos que la eliminación de la contraseña aún está muy lejos. No cabe duda de que la tecnología detrás de WebAuthn es sólida, pero todavía hay algunos obstáculos que superar.

Por un lado, WebAuthn es un estándar web y, por tonto que parezca, la palabra "estándar" en su sentido clásico es un poco tabú en el mundo en línea. Tomar contraseñas, por ejemplo. Los hemos utilizado como nuestro mecanismo de inicio de sesión principal durante bastante tiempo, pero incluso ahora, décadas después de que aparecieron por primera vez, aún no podemos acordar qué es y qué no es una contraseña segura . De la misma manera, a pesar de las ventajas obvias, los proveedores no parecen estar en la misma página cuando se trata de qué tan rápido se debe implementar WebAuthn.

Chrome de Google fue el primer navegador en admitir WebAuthn, pero no fue hasta unos meses después que Firefox, otro gran nombre en la industria, lo implementó. Microsoft se tomó su tiempo para incorporar WebAuthn en Edge, y Apple todavía está experimentando con el soporte para Safari. La situación no es muy diferente en el panorama móvil. La semana pasada, FIDO anunció que muy pronto, todos los teléfonos y tabletas con Android 7.0 o superior estarán certificados por FIDO. WebAuthn está en el núcleo del protocolo FIDO2, lo que significa que estos dispositivos admitirán efectivamente el inicio de sesión sin contraseña. Desafortunadamente, aún no hemos visto ninguna información sobre cuándo se incorporará el estándar en el iOS de Apple. E incluso si todos los proveedores adoptan WebAuthn para sus dispositivos más nuevos, no puede ignorar las montañas de sistemas heredados que quedarán atrás.

Por supuesto, después de que los proveedores de hardware lo adopten, los desarrolladores de sitios web y aplicaciones deberán implementarlo como un mecanismo de inicio de sesión. En otras palabras, es poco probable que WebAuthn reemplace por completo la contraseña en el corto plazo. Y hasta que lo haga, debe asegurarse de que sus cuentas estén lo más protegidas posible.

Usar una aplicación de administración de contraseñas como Cyclonis Password Manager es la mejor manera de hacerlo. Con él, puede crear contraseñas largas y complejas sin preocuparse de recordarlas. Hoy en día, confiar en su cerebro para hacer esto simplemente no es una buena idea, y lo mejor de dejar que Cyclonis Password Manager haga todo el trabajo por usted es que las funciones de autocompletar e iniciar sesión automáticamente de la extensión del navegador le brindarán una conveniencia adicional .

En Duran
March 28, 2019
News
Spanish
March 28, 2019
News

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.