WebAuthn es uno de los dos componentes de FIDO2, un estándar de autenticación FIDO —Fast Identity Online—, junto con el protocolo CTAP —Protocolo de Autenticación del Cliente—. FIDO2 permite aprovechar dispositivos de uso común para autenticarse de manera sencilla en los diferentes servicios online desde cualquier entorno.
WebAuthn —Web Authentication API— ha pasado de ser una recomendación a un estándar web oficial. Este avance es un gran paso adelante para hacer que la web sea más segura y utilizable para los usuarios en todo el mundo.
Se trata de un estándar de navegador y plataforma para garantizar una autenticación más simple y fuerte. Es compatible con los principales navegadores web y permite a los usuarios iniciar sesión en sus cuentas de Internet utilizando su dispositivo habitual. Para poder hacer esto, los servicios web y las aplicaciones deben activar esta funcionalidad, y los usuarios podrán iniciar sesión más fácilmente a través de la biometría, dispositivos móviles o claves de seguridad FIDO. Este estándar incrementa la seguridad con respecto al uso de contraseñas.
¿Qué implica esto? Significa que podremos utilizar, siempre que el sitio al que intentemos acceder sea compatible con FIDO, nuestro smartphone y sus características de autenticación biométrica. Es decir, podemos acceder a un servicio web compatible con nuestra huella digital, o mediante reconocimiento facial. Sin contraseñas complicadas. ¿Tiene contrapartida? Tan solo en la medida en que nuestros datos biométricos se mantengan a buen recaudo, claro.
Veamos un ejemplo de cómo funciona la autenticación mediante FIDO y WebAuthn a través de un dispositivo móvil:
- Al acceder a una web o servicio, se solicita un autenticador FIDO, que puede ser el lector de huellas de nuestro propio smartphone, por ejemplo.
- Una vez seleccionado, el usuario desbloquea el dispositivo utilizando el autenticador elegido —mediante su huella en este ejemplo—. Puede utilizar cualquier otro método de desbloqueo en esta fase, de los que use habitualmente con su smartphone.
- A continuación, se crea un par de claves —pública y privada— que será único para cada dispositivo, servicio y cuenta de usuario.
- Esas claves se reparten de la siguiente manera: la clave privada se almacena en el dispositivo autenticador; la clave pública se envía al servicio, vinculada con el usuario.
- Ahora, la operativa es muy sencilla: si el usuario quiere acceder a un servicio, utiliza el tipo de desbloqueo elegido al principio —la huella en este caso— para desbloquear el dispositivo.
- El dispositivo elige la clave adecuada para acceder al servicio o la web en cuestión, gracias al identificador de cuenta.
- Ahora tan solo resta que el servicio reciba por parte del dispositivo la clave privada y la verifique con la clave pública que tiene en su poder, para poder iniciar sesión.
De cara al usuario, tan solo debe asociar un dispositivo y un sistema de desbloqueo a una cuenta en el servicio web que desee. Así, cada vez que quiera acceder a dicho servicio, le bastará con utilizar su huella digital.
En otro tipo de dispositivos como los ordenadores portátiles o los de escritorio, dependerá de los tipos de autenticación soportados para poder elegir unos u otros. Está previsto que se pueda operar con tokens físicos y otras soluciones. WebAuthn no pretende eliminar las contraseñas, sino mejorar en seguridad y protegernos mejor de amenazas como, por ejemplo, el phishing.
Deja tu comentario sobre "¿Qué es WebAuthn?"