FIDO Sigue Creciendo. Muerte A Las #Contraseñas!
En un esfuerzo conjunto para hacer que la web sea más segura Apple, Google y Microsoft anunciaron hoy planes para expandir el soporte para un estándar común de inicio de sesión sin contraseña creado por FIDO Alliance y World Wide Web Consortium.
La nueva capacidad permitirá que los sitios web y las aplicaciones ofrezcan inicios de sesión sin contraseña consistentes, seguros y fáciles a los consumidores en todos los dispositivos y plataformas.
FIDO Alliance
La Alianza FIDO (Fast Identity Online), creada por algunas de las compañías tecnológicas líderes en el mundo, tiene como propósito cambiar la forma de autenticación ‘online’ para hacerla más segura y cómoda.
La Alianza FIDO ha creado una serie de estándares técnicos interoperables que facilitan la creación de experiencias de inicio de sesión seguras y rápidas en sitios web y aplicaciones. Esto facilita la identificación de los usuarios a través de sistemas biométricos, como la huella dactilar o el reconocimiento facial; así como mediante la autenticación de doble factor o factor múltiple, que consiste en comprobar varias veces mediante diferentes mecanismos que la persona es quien dice ser.
La autenticación de solo contraseña es uno de los mayores problemas de seguridad en la web, y administrar tantas contraseñas es engorroso para los consumidores, lo que a menudo lleva a los consumidores a reutilizar las mismas en todos los servicios. Esta práctica puede conducir a adquisiciones de cuentas costosas, filtraciones de datos e incluso identidades robadas. Si bien los administradores de contraseñas y las formas heredadas de autenticación de dos factores ofrecen mejoras incrementales, ha habido una colaboración en toda la industria para crear una tecnología de inicio de sesión que sea más conveniente y más segura.
Las capacidades ampliadas basadas en estándares darán a los sitios web y aplicaciones la capacidad de ofrecer una opción sin contraseña de extremo a extremo. Los usuarios iniciarán sesión a través de la misma acción que realizan varias veces al día para desbloquear sus dispositivos, como una simple verificación de su huella digital o rostro, o un PIN del dispositivo.
Este nuevo enfoque protege contra el phishing y el inicio de sesión será radicalmente más seguro en comparación con las contraseñas y las tecnologías heredadas de múltiples factores, como los códigos de acceso de un solo uso enviados por SMS.
Registro
- Se le solicita al usuario que elija un autenticador FIDO disponible que coincida con la política de aceptación del servicio en línea.
- El usuario desbloquea el autenticador FIDO mediante un lector de huellas dactilares, un botón en un dispositivo de segundo factor, un PIN ingresado de forma segura u otro método.
- El dispositivo del usuario crea un nuevo par de claves públicas/privadas único para el dispositivo local, el servicio en línea y la cuenta del usuario.
- La clave pública se envía al servicio en línea y se asocia con la cuenta del usuario.
- La clave privada y cualquier información sobre el método de autenticación local (como medidas biométricas o plantillas) nunca abandonan el dispositivo local.
Login
- El servicio en línea desafía al usuario a iniciar sesión con un dispositivo previamente registrado que coincida con la política de aceptación del servicio.
- El usuario desbloquea el autenticador FIDO utilizando el mismo método que en el momento del registro.
- El dispositivo utiliza el identificador de cuenta del usuario proporcionado por el servicio para seleccionar la clave correcta y firmar el desafío del servicio.
- El dispositivo del cliente devuelve el desafío firmado al servicio, que lo verifica con la clave pública almacenada e inicia la sesión del usuario.
Cientos de empresas de tecnología y proveedores de servicios de todo el mundo trabajaron con FIDO Alliance y W3C para crear los estándares de inicio de sesión sin contraseña que ya son compatibles con miles de millones de dispositivos y todos los navegadores web modernos. Apple, Google y Microsoft han liderado el desarrollo de este conjunto ampliado de capacidades y ahora están incorporando soporte en sus respectivas plataformas.
Las plataformas de estas empresas ya son compatibles con los estándares de la Alianza FIDO para permitir el inicio de sesión sin contraseña en miles de millones de dispositivos líderes en la industria, pero las implementaciones anteriores requieren que los usuarios inicien sesión en cada sitio web o aplicación con cada dispositivo antes de que puedan usar la funcionalidad sin contraseña. El anuncio de hoy amplía estas implementaciones de plataforma para brindar a los usuarios dos nuevas capacidades para inicios de sesión sin contraseña más seguros y sin problemas:
- Permitir que los usuarios accedan automáticamente a sus credenciales de inicio de sesión de FIDO (al que algunos se refieren como "clave de acceso") en muchos de sus dispositivos, incluso en los nuevos, sin tener que volver a inscribir cada cuenta.
- Permitir que los usuarios usen la autenticación FIDO en su dispositivo móvil para iniciar sesión en una aplicación o sitio web en un dispositivo cercano, independientemente de la plataforma del sistema operativo o el navegador que estén ejecutando.
Además de facilitar una mejor experiencia de usuario, el amplio apoyo de este enfoque basado en estándares permitirá a los proveedores de servicios ofrecer credenciales FIDO sin necesidad de contraseñas como método alternativo de inicio de sesión o recuperación de cuenta.
Se espera que estas nuevas capacidades estén disponibles en las plataformas de Apple, Google y Microsoft en el transcurso del próximo año.
La ubicuidad y la usabilidad son fundamentales para que la autenticación multifactor se adopte a escala, y aplaudimos a Apple, Google y Microsoft por ayudar a hacer realidad este objetivo al comprometerse a respaldar esta innovación fácil de usar en sus plataformas y productos.
Fuente: FIDO
Via: blog.segu-info.com.ar