Ya sean operaciones bancarias y financieras, compras o comunicación con amigos y familiares: en la era de los ordenadores, los teléfonos inteligentes y similares, una parte importante de la vida tiene lugar en línea. El inicio de sesión seguro en los servicios web y la protección de la privacidad desempeñan un papel especialmente importante. Sin embargo, el creciente número de datos de usuario robados demuestra que ya no basta con introducir un nombre de usuario y una contraseña. El nuevo estándar de autenticación FIDO2 ya permite un inicio de sesión seguro sin contraseña. En este artículo explicamos cómo funciona el nuevo procedimiento de inicio de sesión y qué ventajas e inconvenientes tiene.
FIDO2 («Fast Identity Online 2») es un nuevo estándar de Internet y la evolución sin contraseña de FIDO U2F. Su objetivo es hacer superflua la introducción tradicional de contraseñas a medio y largo plazo.
Los tres términos son sinónimos del stick FIDO2. Es el dispositivo que se utiliza para autenticarse en los servicios. Suele tener la forma de una memoria USB o un llavero.
Microsoft.com y los servicios conectados a él (por ejemplo, Outlook.com, Office 365 y OneDrive), así como Windows Hello, ya utilizan el inicio de sesión sin contraseña. Sin embargo, el requisito previo para ello es utilizar el navegador Edge. Muchos otros servicios ya permiten FIDO2 como segundo factor.
Índice de contenidos
1. cómo funciona la autenticación con FIDO2
FIDO2 se basa en el Client to Authenticator Protocol (CTAP) y el estándar WebAuthnm del W3C, que juntos permiten la verificación mediante autenticadores criptográficos (por ejemplo, PIN o biométricos) o externos. Estos pueden ser, por ejemplo, memorias USB, wearables e incluso dispositivos móviles como teléfonos inteligentes o tabletas.
WebAuthn permite habilitar la autenticación FIDO a través de una API web estándar (en JavaScript), que también se implementa en varios sistemas operativos y navegadores. CTAP permite a los distintos tokens FIDO2 interactuar con el navegador correspondiente y, además, actuar como autenticador. Para ello, sin embargo, tanto el navegador utilizado como los tokens deben poder comunicarse a través de CTAP.
Es bueno saberlo: La autenticación FIDO2 funciona incluso sin hardware adicional en Windows 10 y Android a partir de la versión 7, ya que estos sistemas operativos pueden actuar ellos mismos como autenticadores (virtuales). En macOS, solo funciona en combinación con Google Chrome. En la versión beta actual de iOS 13.3, Safari también es compatible con el nuevo estándar de inicio de sesión.
Con la clave FIDO2, te identificas ante un homólogo WebAuthn de confianza (el llamado servidor FIDO2), que suele pertenecer a un sitio web o a una aplicación web. Dependiendo de la implementación del servicio, hay dos opciones diferentes para elegir:
Con la autenticación de un factor, sólo necesitas el autenticador (por ejemplo, la memoria USB) para iniciar sesión, mientras que con la autenticación de dos factores también tienes que introducir un código PIN o una contraseña.
Es bueno saberlo: FIDO2 fue lanzado por la alianza no comercial FIDO Alliance, fundada en 2012 por Lenovo, PayPal, Infineon, Nok Nok Labs, Validity Sensors y Agnitio. Un año después se sumaron también Google, NXP y Yubico. El objetivo de esta alianza de intereses es desarrollar estándares industriales abiertos y libres de licencia para la autenticación global en internet.
¿Cuáles son las ventajas y desventajas de FIDO2 frente a otros métodos de autenticación?
Está claro que las contraseñas suponen un inmenso riesgo para la seguridad per se. Por defecto, FIDO2 cifra el inicio de sesión con un par de claves (pública y privada) y, en comparación con una autenticación por contraseña «normal», FIDO2 ofrece una superficie de ataque significativamente menor para los piratas informáticos. Si alguien quiere acceder a tus cuentas de usuario, primero tendría que hacerse con tu token. El desbloqueo sólo puede hacerse a través del dispositivo registrado. Así, riesgos de seguridad como el robo de contraseñas son prácticamente cosa del pasado.
El token FIDO también puede utilizarse para diversos servicios web. Esto significa que ya no tendrás que recordar innumerables contraseñas diferentes, sino que podrás iniciar sesión simplemente haciendo clic, introduciendo la voz o conectando un hardware. Sin embargo, como ya se ha mencionado, con determinados sistemas operativos, la autenticación también puede hacerse completamente sin hardware externo. Esto no sólo hace que el proceso de inicio de sesión sea más cómodo y rápido, sino que también ahorra espacio en el llavero.
Actualmente aún no está disponible para todos los servicios web
A pesar de todas las ventajas, FIDO2 también tiene algunas desventajas que nos gustaría mencionar aquí. Por un lado, muy pocos servicios web ofrecen actualmente la nueva forma de autenticación. Además, están los costes de adquisición del autenticador externo, que rápidamente pueden llegar a ser muy caros, especialmente en empresas en las que cada empleado necesita su propio token.
Otro problema: si quieres implantar FIDO2 como parte de una autenticación de dos factores, sigues teniendo que introducir un código PIN o una contraseña. Si tienes que iniciar sesión en distintos servicios varias veces al día, a la larga esto puede convertirse en una tarea muy tediosa.
3 FIDO2 en la práctica: varios ejemplos de aplicación
FIDO2 aún está en pañales, pero los expertos esperan que todos los servicios en línea soporten el estándar tarde o temprano. Actualmente, Facebook, Twitter, GitHub y BoxCryptor ya ofrecen soporte para FIDO2. Los usuarios de los servicios de Microsoft pueden incluso iniciar sesión sin contraseña. Los servicios web de Microsoft son también los únicos hasta ahora que ofrecen webauthn para iniciar sesión sin contraseña, además de la autenticación de dos factores.
Además, la autenticación ya es posible con Chrome, Edge, Firefox, Windows y Android. Solo Apple está, como siempre, tirando por lo bajo y jugueteando con su propia solución llamada «Login with Apple». Tarde o temprano, sin embargo, probablemente tendrán que someterse a la nueva norma aquí también.
Así podría ser trabajar con FIDO2 en el futuro
- Para iniciar sesión en Windows , se utiliza un token FIDO (por ejemplo, la YubiKey de Yubico), que se conecta a un puerto USB del PC. Se inicia la sesión pulsando brevemente el botón táctil. Otros escenarios imaginables son el desbloqueo de Windows a través de un smartphone o smartwatch, mediante un lector externo de huellas dactilares o mediante reconocimiento facial con la cámara.
- En el futuro, el inicio de sesión en Facebook, Amazon, Google y compañía se hará mediante huella dactilar en un smartphone Android compatible.
- También se podrá vincular una clave de seguridad a la cuenta KeePass . Así, podrás desbloquearla fácilmente a través de tu smartphone con la ayuda de la clave, sin tener que hacer ninguna entrada adicional.
Consejo: En el sitio web webauthn.io, puede registrarse e iniciar sesión a través de webauthn a modo de prueba y, de este modo, probar por adelantado la nueva autenticación web según la especificación del W3C.
En el siguiente vídeo encontrará información más detallada sobre FIDO2: