Si no recuerda o crea contraseñas seguras, le encantará que el Consorcio World Wide Web (W3C) haya aprobado ayer la Autenticación Web (WebAuthn), un nuevo estándar de autenticación para inicios de sesión sin contraseña que ya es compatible con los principales navegadores..
Según el anuncio, la especificación WebAuthn es ahora un estándar web oficial.
WebAuthn permite a las personas iniciar sesión en cuentas de Internet con su dispositivo preferido. Aprovecha un protocolo llamado Cliente a protocolo de autenticación (CTAP2), también llamado FIDO2, que se utiliza para generar pares de claves criptográficas públicas y privadas para la autenticación en un sitio web..
El comunicado de prensa enumera las siguientes características clave de WebAuthn:
- Seguridad: Las credenciales de inicio de sesión criptográfico de FIDO2 son únicas en todos los sitios web, los datos biométricos u otros secretos como las contraseñas nunca abandonan el dispositivo del usuario y nunca se almacenan en un servidor. Este modelo de seguridad elimina los riesgos de phishing, todas las formas de robo de contraseñas y ataques de repetición.
- Conveniencia: Los usuarios inician sesión con métodos convenientes como lectores de huellas digitales, cámaras, llaves de seguridad FIDO o su dispositivo móvil personal.
- Intimidad: Debido a que las claves FIDO son únicas para cada sitio de Internet, no pueden usarse para rastrearlo a través de sitios.
- Escalabilidad: Los sitios web pueden habilitar FIDO2 a través de una simple llamada API en todos los navegadores y plataformas compatibles en miles de millones de dispositivos que los consumidores usan todos los días.
En otras palabras, WebAuthn podría proteger a las personas de cualquier violación o ataque de phishing.
Para empezar, es mucho más seguro que las contraseñas débiles que muchas personas usan para proteger sus cuentas en línea o aquellos códigos de acceso únicos que pueden ser interceptados. Con WebAuthn, un atacante armado con una contraseña correcta también requeriría acceso físico a su clave de seguridad física o dispositivo móvil con funciones biométricas compatibles antes de obtener acceso.
TUTORIAL: Cómo ver, buscar y editar contraseñas de Safari
Actualmente, WebAuthn es compatible con los navegadores web Chrome, Firefox, Edge y Safari, así como en Windows 10 y Android. El soporte para Safari apareció por primera vez en Safari Technology Preview versión 71 de Apple, que se lanzó a los desarrolladores el 5 de diciembre.
WebAuthn debería funcionar con dispositivos Yubico.
Yubico produce claves de seguridad física basadas en NFC para inicio de sesión sin contraseña y autenticación de dos factores. En enero, la compañía lanzó su primera clave de seguridad física aprobada por Apple que funciona con dispositivos iOS basados en Lightning y Macs con un puerto USB-C.
YubiKey, la primera clave de seguridad física aprobada por Apple, funciona con dispositivos iOS y macOS.Los productos clave de seguridad existentes basados en NFC de Yubico funcionan de inmediato con cientos de servicios web que admiten los protocolos de autenticación FIDO U2F y FIDO2.
Los protocolos de autenticación WebAuthn y FIDO2 / FIDO U2F ya son compatibles con Dropbox, Facebook, GitHub, Salesforce, Stripe y Twitter, y se espera que otros sitios web populares integren la compatibilidad con estos estándares en los próximos meses.