El W3C –World Wide Web Consortium- ha declarado, como estándar web oficial, la API de autenticación online WebAuth. Se anunció originalmente en febrero del año 2016, por parte de la W3C y de la FIDO Alliance. Se trata ahora de un estándar abierto que permite el inicio de sesión en Internet, en todo tipo de servicios online, sin necesidad de contraseña. De momento hay empresas importantes incluidas en el proyecto como Google, IBM, Intel, Microsoft, PayPal, Alibaba, Airbnb o Apple.
FIDO2 llegaba a Android hace tan solo unos días de forma oficial para ofrecernos exactamente lo mismo –pero en otro entorno, claro-. Se trata de un sistema de autenticación en línea usando datos biométricos, dispositivos móviles o las propias claves de seguridad de FIDO. Además, WebAuth es compatible tanto con Windows 10 como con el sistema operativo móvil de Google, Android. Y también con navegadores web como Google Chrome, Mozilla Firefox y Microsoft Edge desde el año pasado, mientras que la compañía de la manzana mordida introdujo el soporte para este estándar el pasado mes de diciembre en Safari.
FIDO2 ya es un estándar en la web
Estamos más cerca de iniciar sesión en cualquier página web sin tener que usar una contraseña convencional.
Crear una contraseña segura es algo realmente sencillo, pero lo cierto es que introducir una contraseña de muchos caracteres, con símbolos, y demás, no es cómodo. Esa es una de las cuestiones que viene a resolver FIDO2 que, como comentábamos anteriormente, se puede implementar de forma más sencilla gracias a la estandarización de esta API, WebAuthn.
La especificación permite a los usuarios iniciar sesión en cuentas en línea utilizando datos biométricos, dispositivos móviles y/o claves de seguridad como FIDO security keys. WebAuthn es compatible con Android y Windows 10. En el lado del navegador, Google Chrome, Mozilla Firefox, y Microsoft Edge incorporaron soporte el año pasado. Apple ha apoyado a WebAuthn en versiones previas de Safari desde diciembre.
Por el momento vamos a poder utilizar este nuevo sistema de inicio de sesión en sites como Dropbox, Twitter, Facebook, Salesforce, Stripe o GitHub, que es donde ya se ha implementado la API recién reconocida como estándar online.
La idea, en todo esto, es resolver los principales problemas de autenticación tradicional. En cuanto a seguridad, creando claves únicas; en cuanto a comodidad, usando lectores de huellas dactilares o cámaras y llaveros de seguridad así como dispositivos móviles; en cuanto a privacidad por la imposibilidad de “rastrear” a los usuarios en diferentes páginas y servicios web online. Y en último lugar, en cuanto a escalabilidad, porque la implementación de FIDO2 es tan sencilla como introducir la llamada a API en navegadores y plataformas compatibles.
Este importante paso dado por parte de la W3C, indudablemente nos pone a los usuarios mucho más cerca de poder olvidarnos de las contraseñas convencionales en cualquier página web. Y en su lugar, utilizar datos biométricos para la autenticación online.
Fuente: ADSLZone