FIDO 2 y los métodos de Autenticación Passwordless
Desde hace algún tiempo, los métodos de autenticación clásicos se están quedando obsoletos. Y han dejado de ser seguros, cada vez aparecen más métodos de autenticación biométricos, autenticando al usuario mediante reconocimiento facial, reconocimiento de iris o huella dactilar.
Debido a esto se desarrolla FIDO2, un estándar de autenticación Fast Identity Online (FIDO) creado por la alianza FIDO, un conjunto corporativo donde se encuentran empresas como Google, Amazon, Mozilla o Facebook. En otras palabras, este estándar se define como un sistema que permite al usuario utilizar dispositivos comunes para autenticarse de forma fácil y segura en servicios online, tanto en dispositivos móviles como en entornos de escritorio. Así, un ejemplo del funcionamiento de este estándar se da cuando un usuario utiliza el lector de huellas de su smartphone para acceder a Facebook desde su ordenador.
FIDO 2 está compuesto por dos elementos: WebAuthn (un sistema de autenticación sin contraseñas) y Client to Authenticator Protocol (CTAP – en español Protocolo de Autenticación del Cliente -). Por una parte, WebAuthn es una API web estándar que se puede integrar en navegadores y aplicaciones. Por otra parte, CTAP se encarga de permitir que los dispositivos externos, como un móvil o una llave de seguridad física, accedan a esta API y puedan autenticar al usuario.
El proceso de autenticación se resumiría en siete breves pasos.
- El usuario accede a una web y se le pide que elija un método de autenticación FIDO (por ejemplo, el lector de huellas del móvil).
- Seguidamente, el usuario desbloquea el dispositivo autenticador del móvil.
- Se crean un par de claves Private/Public únicas para cada dispositivo y cuenta de usuario.
- La clave pública es enviada al servicio y vinculada a la cuenta de usuario. La privada es almacenada en el dispositivo de forma local. En este punto está todo listo para autenticarse.
- Cuando el usuario accede a la web en concreto, debe desbloquear el dispositivo autenticador.
- Luego, el dispositivo hace uso del identificador de la cuenta provisto por el servicio para seleccionar la clave correcta y acceder a la web.
- Finalmente, el dispositivo envía la clave cifrada al servicio y la verifica con la clave pública enviada previamente y, si coincide, se inicia la sesión.
El proceso de autenticación de FIDO2 es, en determinados aspectos, parecido al sistema de mensajes cifrados extremo a extremo. Mas allá de ser un sistema de acceso sencillo, también es más seguro, ya que hackear una huella digital es difícil.
Recientemente compañías como Microsoft han adaptado este estándar de autenticación en sus servicios, aunque esta empresa ha estado en los últimos años trabajando en la estrategia de inicio de sesión sin contraseñas. La notificación de inicio de sesión mediante notificaciones push en su Microsoft Authenticator es un gran ejemplo.