WebAuthn, el estándar que apoyan Google, Microsoft y Mozilla para acabar con las contraseñas

Publicado el 16 abril 2018 por José María Acuña Morgado @jmacuna73

La FIDO Alliance y el World Wide Web Consortium (los consorcios que regulan los estándares en el uso de la web) han alcanzado un hito en el estándar global para ofrecer una autenticación web simplificada pero más robusta para los usuarios a nivel mundial.
Han sido cerca de dos años de intenso trabajo que han dado como fruto el anuncio oficial y la disponibilidad de este nuevo estándar que pone orden y unifica los primeros acercamientos hacia sistemas de identificación biométricos que algunas firmas estaban ya empleando.
WebAuthn define una API web estándar que se puede incorporar en los navegadores y ofrece a los usuarios nuevos métodos para autenticarse de forma segura en la web, en el navegador y en todos los sitios y dispositivos.
Se trata de un componente central del Proyecto FIDO2, que junto con la especificación del Protocolo Cliente a Autenticador (CTAP) de FIDO, permite que un autenticador externo, como una llave de seguridad o un teléfono móvil, transmita credenciales de autenticación sólidas a través de USB, Bluetooth o NFC al dispositivo del usuario.
Google, Microsoft y Mozilla se han comprometido a respaldar el estándar WebAuthn en sus navegadores insignia (Google Chrome, Microsoft Edge y Mozilla Firefox respectivamente) y han comenzado a implementarlo para plataformas Windows, Mac, Linux, Chrome OS y Android.
Además de los principales navegadores, el nuevo estándar será implementado poco a poco por las organizaciones de todo el globo, con la ventaja adicional de que las especificaciones de FIDO2 son totalmente compatibles con la autenticación FIDO, el estándar anterior, con lo que su aplicación será mucho más sencilla para los desarrolladores.
El siguiente paso lo darán los grandes (Microsoft, Google, Facebook y Apple) aplicando el nuevo estándar en sus sistemas y logrando que el usuario solo necesite su huella, rostro o bien un dispositivo móvil para identificarse de forma segura y sin necesidad de recordar complejas contraseñas.

Beneficios del proyecto WebAuthn y FIDO2


La API WebAuthn del W3C permite credenciales fuertes, únicas y basadas en claves públicas para cada sitio, eliminando el riesgo de que una contraseña robada de un sitio web pueda ser usado en otro.
  • Autenticación simple » los usuarios simplemente inician sesión usando:
    1- Autenticadores internos o incorporados (como huellas digitales o biometría facial) en PC, laptops y/o dispositivos móviles.
    2- Autenticadores externos (como claves de seguridad y dispositivos móviles) para la autenticación de dispositivo a dispositivo utilizando CTAP.
  • Autenticación más fuerte » la Autenticación FIDO es mucho más sólida y tiene estas ventajas:
    1- Las credenciales de usuario y las plantillas biométricas nunca salen del dispositivo del usuario y nunca se almacenan en servidores.
    2- Las cuentas están protegidas de ataques de phishing, man-in-the-middle y otros mecanismos que usan contraseñas robadas.
  • Los desarrolladores pueden comenzar a crear aplicaciones y servicios que aprovechan la Autenticación FIDO en la nueva página de recursos para desarrolladores de FIDO.

Acerca de la Alianza FIDO


La Alianza FIDO (Fast IDentity Online), se creó en julio de 2012 para resolver la falta de interoperabilidad entre las tecnologías de autenticación fuerte y remediar los problemas a los que se enfrentan los usuarios para crear y recordar diversos identificadores de usuario y contraseñas.
La Alianza planea cambiar la naturaleza de la autenticación con el desarrollo de especificaciones basadas en estándares para una autenticación más sencilla y a la vez más fuerte que defina un conjunto abierto, escalable e interoperable de mecanismos que reduzcan la dependencia de las contraseñas.
La autenticación FIDO es más fuerte, privada, y más fácil de usar en la autenticación de servicios online.

Acerca del W3C


La misión del World Wide Web Consortium (W3C) es llevar a la Web a su máximo potencial mediante la creación de normas técnicas y directrices para garantizar que la Web permanezca abierta, accesible e interoperable para todos en todo el mundo.
El W3C desarrolla especificaciones bien conocidas como HTML5, CSS y Open Web Platform, además de trabajar en seguridad y privacidad, todas creadas para todo el mundo y provistas de forma gratuita y bajo la exclusiva Política de Patentes del W3C.

Lee el comunicado de prensa y los testimonios de los miembros del W3C.
Jose Maria Acuña Morgado - Desarrollador Web