WebAuthn, aprobado el estándar para terminar con las contraseñas en Internet

Iniciado por Dragora, Marzo 08, 2019, 08:34:01 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


El W3C –World Wide Web Consortium- ha declarado, como estándar web oficial, la API de autenticación online WebAuth. Se anunció originalmente en febrero del año 2016, por parte de la W3C y de la FIDO Alliance. Se trata ahora de un estándar abierto que permite el inicio de sesión en Internet, en todo tipo de servicios online, sin necesidad de contraseña. De momento hay empresas importantes incluidas en el proyecto como Google, IBM, Intel, Microsoft, PayPal, Alibaba, Airbnb o Apple.


FIDO2 llegaba a Android hace tan solo unos días de forma oficial para ofrecernos exactamente lo mismo –pero en otro entorno, claro-. Se trata de un sistema de autenticación en línea usando datos biométricos, dispositivos móviles o las propias claves de seguridad de FIDO. Además, WebAuth es compatible tanto con Windows 10 como con el sistema operativo móvil de Google, Android. Y también con navegadores web como Google Chrome, Mozilla Firefox y Microsoft Edge desde el año pasado, mientras que la compañía de la manzana mordida introdujo el soporte para este estándar el pasado mes de diciembre en Safari.






FIDO2 ya es un estándar en la web, estamos más cerca de iniciar sesión en cualquier página web sin tener que usar una contraseña convencional


Crear una contraseña segura es algo realmente sencillo, pero lo cierto es que introducir una contraseña de muchos caracteres, con símbolos, y demás, no es cómodo. Esa es una de las cuestiones que viene a resolver FIDO2 que, como comentábamos anteriormente, se puede implementar de forma más sencilla gracias a la estandarización de esta API, WebAuthn. Por el momento vamos a poder utilizar este nuevo sistema de inicio de sesión en sites como Dropbox, Twitter, Facebook, Salesforce, Stripe o GitHub, que es donde ya se ha implementado la API recién reconocida como estándar online.

La idea, en todo esto, es resolver los principales problemas de autenticación tradicional. En cuanto a seguridad, creando claves únicas; en cuanto a comodidad, usando lectores de huellas dactilares o cámaras y llaveros de seguridad así como dispositivos móviles; en cuanto a privacidad por la imposibilidad de 'rastrear' a los usuarios en diferentes páginas y servicios web online. Y en último lugar, en cuanto a escalabilidad, porque la implementación de FIDO2 es tan sencilla como introducir la llamada a API en navegadores y plataformas compatibles.

Este importante paso dado por parte de la W3C, indudablemente nos pone a los usuarios mucho más cerca de poder olvidarnos de las contraseñas convencionales en cualquier página web. Y en su lugar, utilizar datos biométricos para la autenticación online.


Fuente: venturebeat


Me parece buenisimo este nuevo estandar, aunque para evitar cuestiones de phishing no hay nada como el 2fa, ya que por mas que la seguridad sea biometrica o un hash imposible de descifrar, si le robas ese dato al usuario igual estaria regalando su acceso al actor malicioso!




Con la fuerza del mar, con la paz del rio


Como con cualquier solución de autenticación, tiene ventajas y desventajas. Varios métodos para piratear 2FA también pueden aplicarse aplicarse a WebAuthN. Simplemente WebAuthN no es perfecto, no hay que imaginar que no será pirateado, porque como todo, con el paso del tiempo se van encontrándo las distintas vulnerabilidades.

Si claro !
Sea como sea, es un paso en la direccion correcta a mi parecer !




Con la fuerza del mar, con la paz del rio