WebAuthn es el nuevo estándar web oficial recientemente anunciado por el World Wide Web Consortium (W3C) y la Alianza FIDO. Esta especificación de autenticación web se ha calificado como un avance y un gran paso adelante para hacer que la web sea más segura y utilizable para los usuarios de todo el mundo.
La Recomendación WebAuthn de W3C no es más que un componente central del conjunto de especificaciones FIDO2 de la Alianza FIDO, por lo que se ha definido como un estándar de navegador / plataforma para una autenticación más simple y más fuerte.
Se ha conocido que ya es compatible con Windows 10, Android y Google Chrome, Mozilla Firefox, Microsoft Edge y Apple Safari (vista previa) navegadores web. En un comunicado de prensa se ha informado que WebAuthn permite a los usuarios iniciar sesión en sus cuentas de Internet utilizando su dispositivo preferido.
“Los servicios web y las aplicaciones pueden, y deben, activar esta funcionalidad para dar a sus usuarios la opción de iniciar sesión más fácilmente a través de la biometría, dispositivos móviles y / o claves de seguridad FIDO, y con una seguridad mucho más alta sólo con las contraseñas”.
Jeff Jaffe, CEO de W3C, ha dicho que ahora es el momento de que los servicios web y las empresas adopten WebAuthn para ir más allá de las contraseñas vulnerables y ayudar a los usuarios web a mejorar la seguridad de sus experiencias en línea.
“La Recomendación de W3C establece una guía de interoperabilidad a nivel web, estableciendo expectativas consistentes para los usuarios web y los sitios que visitan. W3C está trabajando para implementar esta mejor práctica en su propio sitio”.
Estándar web rápido y seguro
La comunidad tecnológica global se ha unido, con FIDO2 y WebAuthn, para proporcionar una solución conjunta al problema de la contraseña compartida. Se ha señalado que FIDO2 resuelve todos los problemas con la autenticación tradicional, tales como de seguridad.
Y es que las credenciales de inicio de sesión criptográficas de FIDO2 son únicas en todos los sitios web, la biométrica u otros secretos, como las contraseñas, nunca abandonan el dispositivo del usuario y nunca se almacenan en un servidor. Este modelo de seguridad eliminaría los riesgos de phishing, todas las formas de robo de contraseñas y ataques de repetición, según el comunicado.
Además, brinda comodidad para los usuarios porque inician sesión con métodos convenientes, como lectores de huellas digitales, cámaras, llaves de seguridad FIDO o sus dispositivos móviles personales. La privacidad también es otra característica, debido a que las claves FIDO son únicas para cada sitio de Internet y no se pueden usar para rastrearlo en todos los sitios.
Se ha mencionado que ofrece escalabilidad, tomando en cuenta que los sitios web pueden habilitar FIDO2 mediante una simple llamada a la API en todos los navegadores y plataformas compatibles, en miles de millones de dispositivos que los consumidores usan todos los días.
Para Brett McDowell, director ejecutivo de la Alianza FIDO, la autenticación web como un estándar web oficial es el pináculo de muchos años de colaboración de la industria para desarrollar una solución práctica para una autenticación más sólida en la web.
“Con este hito, nos estamos mudando a una nueva era de protección de autenticación FIDO ubicua y respaldada por hardware para todos los que usan Internet”, dijo el ejecutivo.
Programa de certificación
La Alianza FIDO ha proporcionado herramientas de prueba y ha lanzado un programa de certificación para proveedores de servicios y proveedores listos para comenzar con las especificaciones de FIDO2 y el soporte de navegador / plataforma.
“Actualmente hay muchas soluciones certificadas por FIDO2 disponibles para soportar una gran variedad de casos de uso, incluidos los servidores universales certificados por FIDO que admiten FIDO2 y todos los dispositivos UAF y U2F anteriores para una compatibilidad total con la gama completa de autenticadores FIDO certificados”.
Se ha añadido que FIDO2 se compone de la especificación de Autenticación Web del W3C (WebAuthn) y el correspondiente Protocolo de Autentificación de Cliente de FIDO Alliance (CTAP).
En la publicación se ha destacado que la Alianza FIDO (Fast IDentity Online) se formó en julio de 2012 para abordar la falta de interoperabilidad entre las tecnologías de autenticación sólidas y remediar los problemas que enfrentan los usuarios al crear y recordar múltiples nombres de usuario y contraseñas.
“La Alianza FIDO está cambiando la naturaleza de la autenticación con estándares para una autenticación más simple y más fuerte que define un conjunto de mecanismos abiertos, escalables e interoperables que reducen la dependencia de las contraseñas. La autenticación FIDO es más sólida, privada y fácil de usar cuando se autentica en servicios en línea”.
Por su parte, la misión del W3C es llevar a la Web a su máximo potencial mediante la creación de estándares técnicos y pautas para garantizar que la Web permanezca abierta, accesible e interoperable para todos en todo el mundo.
“W3C desarrolla especificaciones bien conocidas como HTML5, CSS y la plataforma web abierta, así como trabajos sobre seguridad y privacidad, todos creados de forma abierta y de forma gratuita y bajo la exclusiva Política de Patentes de W3C. Por su trabajo para hacer que los videos en línea sean más accesibles con subtítulos y subtítulos, el W3C recibió un Premio Emmy 2016”.
La visión de W3C para “One Web”, según lo publicado, reúne a miles de tecnólogos dedicados que representan a más de 400 organizaciones miembros y docenas de sectores de la industria.
“El W3C es organizado conjuntamente por el Laboratorio de Inteligencia Artificial e Informática del MIT (MIT CSAIL) en los Estados Unidos, el Consorcio Europeo de Investigación para la Informática y las Matemáticas (ERCIM) con sede en Francia, la Universidad de Keio en Japón y la Universidad de Beihang en China”.