WebAuthn, ¿El estándar que terminará con las contraseñas?

La World Wide Web Consortium (W3C) ha declarado, como estándar web oficial, la API de autenticación online WebAuthn. Se anunció originalmente en febrero del año 2016, por parte de la W3C y de la FIDO Alliance. Se trata de un estándar abierto que permite el inicio de sesión en Internet en todo tipo de servicios online sin necesidad de contraseña. De momento hay organizaciones relevantes incluidas en el proyecto como Google, Mozilla, IBM, Intel, Microsoft, PayPal, Alibaba, Airbnb o Apple.

Artículos recomendados antes de seguir la lectura:

¿Qué es WebAuthn?

Un usuario promedio tiene 90 cuentas en línea para administrar. WebAuthn te facilita la protección de las cuentas que mantienes online. Asimismo, WebAuthn ofrece una seguridad más robusta que con tan solo un nombre de usuario y/o de contraseña. Hoy en día, las contraseñas robadas representan el 81% de las infracciones, y cada una de ellas le cuesta a una organización un promedio de 3.9 millones de dólares, según Verizon 2017 Data Breach Investigations Report.

En lugar de la contraseña habitual, los usuarios podrán identificarse con datos biométricos, del tipo huella dactilar, hardware específico o aplicaciones específicas.

Aunque algunas organizaciones ya lo implementan en algunos dispositivos, la llegada de un estándar abierto hará que todas las organizaciones y servicios naden en la misma dirección, y que gracias a esta tecnología de código abierto los pequeños desarrolladores puedan también implementarlo fácilmente.

De esta manera, el estándar Web Authentication (WebAuthn), se une a la tendencia actual que estamos viviendo en dispositivos móviles y algunos ordenadores, de poder desbloquearlos con nuestras huellas dactilares. Según FIDO Alliance, el estándar ya está siendo implementado por servicios como Bank of America, Paypal o eBay en sus aplicaciones móviles nativas.

¿Cómo funciona WebAuthn?

En el siguiente esquema podrás observar el funcionamiento WebAuthn.

¿Cómo funciona WebAuthn?

El usuario se autentifica mediante un Authenticator con hardware como el que ofrece Yubico y Feitian o el lector de huella dactilar de tu dispositivo, después el navegador web validará que ese mismo Authenticator sea legítimo. Una vez validado, tu servicio web comprobará si realmente este validador tiene acceso de autenticación.

Duo Labs diseñó este sitio para probar la nueva autenticación web de especificación W3C. Entre las ventajas que ya hemos mencionado se encuentra que WebAuthn es compatible con los navegadores Chrome, Firefox y Edge en diferentes grados, y todos ellos son compatibles con la creación de credenciales y la autenticación, utilizando un token U2F como los proporcionados por Yubico y Feitian. El código para esta demostración se puede encontrar aquí en GitHub.

WebAuthn ha llegado como nuevo estándar para gestionar la autenticación web:

  • Mejorando la seguridad: Con el respaldo de todos los principales navegadores y plataformas web, WebAuthn simplifica y estandariza en gran medida la integración de la autenticación fuerte en aplicaciones web y móviles.
  • Autenticación robusta: WebAuthn hace que sea fácil ofrecer a los usuarios una autenticación sólida utilizando una variedad de autenticadores como YubiKey y autenticadores de plataforma integrados como el sensor de huellas digitales.

Conclusión

WebAuthn es un nuevo estándar global del W3C para la autenticación segura en la Web compatible con todos los principales navegadores y plataformas. WebAuthn hace que sea fácil ofrecer a los usuarios una opción de autenticación robusta para proteger las cuentas, incluidas las claves de seguridad y los sensores biométricos incorporados en sus dispositivos.

Si quieres saber más sobre WebAuthn, te invito a consultar webauthn.guide.

¿Qué sistema de autenticación aplican tus servicios? ¿Crees que WebAuthn será el estándar que terminará definitivamente con las contraseñas?

Photo by Lukenn Sabellano on Unsplash

Referencias: