En el Día mundial de la contraseña, Apple ha aprovechado para anunciar A que junto a Google y Microsoft se comprometen a ampliar el soporte para el estándar FIDO para acelerar la disponibilidad de inicios de sesión sin contraseña.
Los inicios de sesión más rápidos, fáciles y seguros estarán disponibles para los consumidores en dispositivos y plataformas líderes
Qué es el estándar FIDO
La Alianza FIDO (Fast IDentity Online), se formó en julio de 2012 para abordar la falta de interoperabilidad entre las tecnologías de autenticación sólidas y remediar los problemas a los que se enfrentan los usuarios al crear y recordar múltiples nombres de usuario y contraseñas.
La Alianza FIDO formada por más de 40 miembros, está cambiando la naturaleza de la autenticación con estándares para una autenticación más simple y fuerte que definan un conjunto de mecanismos abiertos, escalables e interoperables que reducen la dependencia de las contraseñas. La autenticación FIDO es más fuerte, privada y fácil de usar cuando se autentica en servicios en línea.
Basado en Criptografía de Clave pública o PKI, FIDO comprende una serie de protocolos diseñados para soportar autenticación de cualquier clase que se nos ocurra.
Podríamos mencionar, por ejemplo:
- Huellas (fingerprint)
- Biometría (iris, huellas, reconocimiento, facial, etc)
- OTP (One Time Passwords) que puede ser TOTP o HOTP
- TPM ( Trusted Platform Modules)
- Tokens de seguridad USB
- NFC (Comunicación de Campo Cercano)
- Bluetooth
Protocolos disponibles en FIDO:
- U2F: Universal 2nd Factor, una llave criptográfica estándar para proteger la cuenta con este elemento físico que llevamos a cuestas y que conectamos en cualquier ordenador.
- UAF: Universal Authentication Framework, un marco de trabajo para reforzar la seguridad de un servicio (por ejemplo, web) utilizando los desafíos de seguridad que se pueden implementar en un dispositivo móvil: biometría por huella dactilar, iris, voz o cara, patrón de desbloqueo del móvil, PIN, etc. Así como utilizar la ubicación GPS aceptable del usuario para permitir la autenticación.
- FIDO2: un estándar más moderno que utiliza nueva especificación JavaScript API, llamada “Web Authentication” (WebAuthn). Incorpora beneficios similares a los dos estándares anteriores con una tecnología distinta. Está ayudando a extender estas tecnologías rápidamente. Compatible por ejemplo con la mayor parte de los navegadores de internet modernos, muchos servicios digitales e incluso el inicio de sesión de Windows (Hello).
Por ejemplo, en 2021 el BBVA anunció que incorporaba el estándar de identificación FIDO en su app siendo el primer banco en España que lo integraba.
Una alianza de las 3 grandes
En un esfuerzo conjunto para hacer que la web sea más segura y utilizable para todos, Apple, Google y Microsoft anunciaron hoy planes para ampliar el soporte para un estándar común de inicio de sesión sin contraseña creado por la Alianza FIDO y el World Wide Web Consortium. La nueva capacidad permitirá a los sitios web y aplicaciones ofrecer inicios de sesión sin contraseña coherentes, seguros y fáciles a los consumidores en todos los dispositivos y plataformas.
La autenticación solo con contraseña es uno de los mayores problemas de seguridad en la web, y la gestión de tantas contraseñas es engorrosa para los consumidores, lo que a menudo lleva a los consumidores a reutilizar las mismas en todos los servicios. Esta práctica puede dar lugar a costosas adquisiciones de cuentas, filtraciones de datos e incluso identidades robadas. Si bien los administradores de contraseñas y las formas heredadas de autenticación de dos factores ofrecen mejoras incrementales, ha habido una colaboración en toda la industria para crear tecnología de inicio de sesión que sea más conveniente y segura.
Las capacidades ampliadas basadas en estándares darán a los sitios web y aplicaciones la posibilidad de ofrecer una opción sin contraseña de extremo a extremo. Los usuarios iniciarán sesión a través de la misma acción que realicen varias veces al día para desbloquear sus dispositivos, como una simple verificación de su huella dactilar o cara, o un PIN del dispositivo. Este nuevo enfoque protege contra el phishing y el inicio de sesión será radicalmente más seguro en comparación con las contraseñas y las tecnologías multifactoriales heredadas, como los códigos de acceso únicos enviados a través de SMS.
Una expansión del soporte estándar sin contraseña
Cientos de empresas de tecnología y proveedores de servicios de todo el mundo trabajaron dentro de la Alianza FIDO y el W3C para crear los estándares de inicio de sesión sin contraseña que ya son compatibles con miles de millones de dispositivos y en todos los navegadores web modernos. Apple, Google y Microsoft han liderado el desarrollo de este conjunto ampliado de capacidades y ahora están incorporando soporte en sus respectivas plataformas.
Las plataformas de estas empresas ya admiten los estándares de FIDO Alliance para permitir el inicio de sesión sin contraseña en miles de millones de dispositivos líderes en la industria, pero las implementaciones anteriores requieren que los usuarios inicien sesión en cada sitio web o aplicación con cada dispositivo antes de poder usar la funcionalidad sin contraseña. El anuncio de hoy amplía estas implementaciones de la plataforma para ofrecer a los usuarios dos nuevas capacidades para iniciar sesión sin contraseña más fluidos y seguros:
Permitir a los usuarios acceder automáticamente a sus credenciales de inicio de sesión FIDO (denominadas por algunos como una «clave de paso») en muchos de sus dispositivos, incluso en los nuevos, sin tener que volver a inscribir todas las cuentas.
Permita a los usuarios utilizar la autenticación FIDO en su dispositivo móvil para iniciar sesión en una aplicación o sitio web en un dispositivo cercano, independientemente de la plataforma del sistema operativo o del navegador que estén ejecutando.
Además de facilitar una mejor experiencia de usuario, el amplio apoyo de este enfoque basado en estándares permitirá a los proveedores de servicios ofrecer credenciales FIDO sin necesidad de contraseñas como método alternativo de inicio de sesión o recuperación de cuentas.
Se espera que estas nuevas capacidades estén disponibles en las plataformas de Apple, Google y Microsoft en el transcurso del próximo año.
Andrew Shikiar, director ejecutivo y CMO de la Alianza FIDO, ha dicho:
La ‘autenticación más simple y fuerte’ no es solo el lema de FIDO Alliance, sino que también ha sido un principio rector para nuestras especificaciones y directrices de implementación. La ubicuidad y la usabilidad son fundamentales para que se adopte la autenticación multifactorial a escala, y aplaudimos a Apple, Google y Microsoft por ayudar a hacer realidad este objetivo comprometiéndose a apoyar esta innovación fácil de usar en sus plataformas y productos. Esta nueva capacidad marca el comienzo de una nueva ola de implementaciones FIDO de baja fricción junto con la utilización continua y creciente de las claves de seguridad, lo que ofrece a los proveedores de servicios una gama completa de opciones para implementar una autenticación moderna y resistente al phishing».
Jen Easterly, Directora de los EE. UU. Agencia de Ciberseguridad y Seguridad de la Infraestructura, comentó al respecto:
Los estándares desarrollados por la Alianza FIDO y el World Wide Web Consortium y liderados en la práctica por estas empresas innovadoras son el tipo de pensamiento de tendencia hacia el futuro que, en última instancia, mantendrá al pueblo estadounidense más seguro en línea. Aplaudo el compromiso de nuestros socios del sector privado con estándares abiertos que agreguen flexibilidad para los proveedores de servicios y una mejor experiencia de usuario para los clientes. En CISA, estamos trabajando para aumentar la línea de base de ciberseguridad para todos los estadounidenses. Hoy es un hito importante en el viaje de seguridad para fomentar las mejores prácticas de seguridad integradas y ayudarnos a ir más allá de las contraseñas. Cyber es un deporte de equipo, y nos complace continuar nuestra colaboración.
Desde Apple, Kurt Knight, Director Senior de Marketing de Productos de Plataformas de Apple, afirmó que:
Así como diseñamos nuestros productos para que sean intuitivos y capaces, también los diseñamos para que sean privados y seguros. Trabajar con la industria para establecer métodos de inicio de sesión nuevos y más seguros que ofrezcan una mejor protección y eliminen las vulnerabilidades de las contraseñas es fundamental para nuestro compromiso de crear productos que ofrezcan la máxima seguridad y una experiencia de usuario transparente, todo con el objetivo de mantener segura la información personal de los usuarios.
Uno de los aliados, Mark Risher, Director Senior de Gestión de Productos de Google, dijo:
Este hito es un testimonio del trabajo colaborativo que se está realizando en toda la industria para aumentar la protección y eliminar la autenticación obsoleta basada en contraseñas. Para Google, representa casi una década de trabajo que hemos hecho junto con FIDO, como parte de nuestra continua innovación hacia un futuro sin contraseña. Esperamos que la tecnología basada en FIDO esté disponible en Chrome, ChromeOS, Android y otras plataformas, y alentamos a los desarrolladores de aplicaciones y sitios web a adoptarla, para que las personas de todo el mundo puedan alejarse de forma segura del riesgo y la molestia de las contraseñas».
Por parte de los chicos de Redmond, Alex Simons, vicepresidente corporativo de Gestión de Programas de Identidad de Microsoft, cerró el acuerdo diciendo:
El cambio completo a un mundo sin contraseña comenzará con los consumidores que lo convertirán en una parte natural de sus vidas. Cualquier solución viable debe ser más segura, fácil y rápida que las contraseñas y los métodos de autenticación multifactores heredados que se utilizan hoy en día. Trabajando juntos como comunidad en todas las plataformas, podemos por fin lograr esta visión y hacer un progreso significativo hacia la eliminación de las contraseñas. Vemos un futuro brillante para las credenciales basadas en FIDO tanto en escenarios de consumidores como empresariales y continuaremos creando soporte en todas las aplicaciones y servicios de Microsoft.