El W3C (World Wide Web Consortium) ha declarado, como estándar web oficial, la API de autenticación online WebAuth. Se anunció originalmente en febrero del año 2016, por parte de la W3C y de la FIDO Alliance. Se trata ahora de un estándar abierto que permite el inicio de sesión en Internet, en todo tipo de servicios online, sin necesidad de contraseña. De momento hay empresas importantes incluidas en el proyecto como Google, IBM, Intel, Microsoft, PayPal, Alibaba, Airbnb o Apple.Resumen: Esta especificación define una API que permite la creación y el uso de credenciales basadas en claves públicas sólidas, certificadas y con alcance , por las aplicaciones web , con el propósito de autenticar a los usuarios. Conceptualmente, una o más credenciales de clave pública , cada una de ellas con alcance a una parte de confianza de WebAuthn determinada, se crean y enlazan a los autenticadores según lo solicite la aplicación web. El agente de usuario media el acceso a los autenticadores y sus credenciales de clave pública para preservar la privacidad del usuario. Los autenticadores son responsables de garantizar que ninguna operación se realice sin consentimiento del usuario. Los autenticadores proporcionan una prueba criptográfica de sus propiedades a las partes que confían a través de un certificado . Esta especificación también describe el modelo funcional para autenticadores conformes de WebAuthn , incluida su funcionalidad de firma y certificación .
FIDO2 llegaba a Android hace tan solo unos días de forma oficial para ofrecernos exactamente lo mismo – pero en otro entorno, claro. Se trata de un sistema de autenticación en línea usando datos biométricos, dispositivos móviles o las propias claves de seguridad de FIDO. Además, WebAuth es compatible tanto con Windows 10 como con el sistema operativo móvil de Google, Android. Y también con navegadores web como Google Chrome, Mozilla Firefox y Microsoft Edge desde el año pasado, mientras que la compañía de la manzana mordida introdujo el soporte para este estándar el pasado mes de diciembre en Safari.FIDO2 ya es un estándar en la web, estamos más cerca de iniciar sesión en cualquier página web sin tener que usar una contraseña convencional
Crear una contraseña segura es algo realmente sencillo, pero lo cierto es que introducir una contraseña de muchos caracteres, con símbolos, y demás, no es cómodo. Esa es una de las cuestiones que viene a resolver FIDO2 que, como comentábamos anteriormente, se puede implementar de forma más sencilla gracias a la estandarización de esta API, WebAuthn. Por el momento vamos a poder utilizar este nuevo sistema de inicio de sesión en sites como Dropbox, Twitter, Facebook, Salesforce, Stripe o GitHub, que es donde ya se ha implementado la API recién reconocida como estándar online.
La idea, en todo esto, es resolver los principales problemas de autenticación tradicional. En cuanto a seguridad, creando claves únicas; en cuanto a comodidad, usando lectores de huellas dactilares o cámaras y llaveros de seguridad así como dispositivos móviles; en cuanto a privacidad por la imposibilidad de ‘rastrear’ a los usuarios en diferentes páginas y servicios web online. Y en último lugar, en cuanto a escalabilidad, porque la implementación de FIDO2 es tan sencilla como introducir la llamada a API en navegadores y plataformas compatibles.
Este importante paso dado por parte de la W3C, indudablemente nos pone a los usuarios mucho más cerca de poder olvidarnos de las contraseñas convencionales en cualquier página web. Y en su lugar, utilizar datos biométricos para la autenticación online.
Comentarios