FIDO2 la autenticación sin contraseñas

Durante años, las contraseñas han sido la llave maestra (y a menudo oxidada) para acceder a nuestros mundos digitales. Pero, seamos sinceros, resultan inconvenientes y lo que es peor, un blanco fácil para los malos. Por eso os voy a hablar sobre FIDO2, un estándar que muy seguramente ya estás utilizando sin darte cuenta y que promete jubilar, de una vez por todas, a las contraseñas tal y como las conocemos.

¿Qué es FIDO2?

En esencia, FIDO2 es un estándar de autenticación que nos permite acceder a servicios online de forma segura sin necesidad de introducir contraseñas. Imagina desbloquear tu cuenta bancaria con tu huella dactilar o una llave de seguridad USB especial. ¡Eso es FIDO2! Este estándar es impulsado por la Alianza FIDO (Fast Identity Online) y el W3C (World Wide Web Consortium), dos organizaciones referentes en la industria en internet.

FIDO2 no es una tecnología monolítica, sino más bien un conjunto de reglas que se apoyan en dos componentes principales:

- WebAuthn (Web Authentication API): Permite a las páginas web y aplicaciones interactuar con los métodos de autenticación robustos. Gracias a WebAuthn, los desarrolladores pueden integrar en sus sitios la posibilidad de autenticarnos usando nuestra huella, reconocimiento facial, o esas prácticas llaves de seguridad USB que en otros articulos os he comentado.

- CTAP (Client to Authenticator Protocol): Es el protocolo que permite que nuestros dispositivos de autenticación (el sensor de huellas, la llave de seguridad USB, etc.) se comuniquen de manera eficiente con las aplicaciones web y otros servicios que utilizan FIDO2.

¿Cómo funciona?

Cuando te registras en un servicio que soporta FIDO2, tu autenticador (ya sea físico o biométrico) genera un par de claves criptográficas: una pública y una privada. La clave pública se envía al servicio y se asocia con tu cuenta. Cuando intentas iniciar sesión, tu autenticador utiliza la clave privada para firmar un "desafío" criptográfico que te envía el servicio. El servicio, entonces, verifica esta firma con la clave pública que guardó durante el registro. Si todo coincide, ¡acceso concedido!.

Por tanto cualquier aplicación que implemente WebAuthn y CTAP, ofrecera al usuario la posibilidad de utilizar cualquier dispositivo con capacidades compatibles, como los sensores biométricos integrados en móviles y ordenadores (huella dactilar, reconocimiento facial como Windows Hello), o las llaves de seguridad USB de diferente tipo disponibles en el mercado. La idea es que cada usuario pueda elegir el método que le resulte más cómodo y seguro.

Ventajas e Inconvenientes

Como toda tecnología, FIDO2 tiene sus puntos fuertes y algunos aspectos a considerar:

Ventajas:

- Seguridad Robusta: Los autenticadores FIDO2 generan claves criptográficas únicas para cada sitio web o servicio. Esto elimina de raíz los problemas de contraseñas robadas, reutilizadas en múltiples sitios o demasiado fáciles de adivinar. Esto significa que, incluso si la información de un sitio se viera comprometida (por ejemplo, la clave pública almacenada), no serviría para autenticarse sin la clave privada del usuario, que nunca abandona su dispositivo. Además, una clave de un sitio no tiene relación con la de otro.

- Experiencia de Usuario Mejorada: Autenticarse con un toque de dedo, una mirada o insertando una llave de seguridad USB es mucho más rápido y cómodo que teclear contraseñas complejas. ¡Se acabó el tener que pensar qué combinación de letras, números y símbolos usaste hace tres meses!

- Privacidad Reforzada: FIDO2 está diseñado pensando en la privacidad del usuario. Los autenticadores no comparten información que pueda usarse para rastrearnos entre diferentes servicios online. Cada autenticación es independiente y está ligada al sitio específico.

Inconvenientes:

- Desafíos en Entornos Empresariales: Implementar FIDO2 en grandes empresas puede ser más complejo que en organizaciones pequeñas debido a la diversidad de sistemas, dispositivos, ubicaciones y la necesidad de soportar a un gran número de usuarios con diferentes requisitos de autenticación. La integración en infraestructuras existentes y el mantenimiento posterior pueden ser complejos, ya que los productos de seguridad asociados a menudo requieren configuraciones detalladas.

- Adopción Temprana y Madurez: Aunque se trata de una tecnología que lleva tiempo en uso, su implantación masiva se ve afectada incompatibilidad entre plataformas, o el desafío de dar soporte a aplicaciones o sistemas heredados ('legacy') donde las interfaces comunes como USB, NFC o Bluetooth no son aplicables.

- El eslabón mas débil el Usuario: Aunque la idea es simplificar la autenticación, algunos usuarios con menos conocimientos técnicos podrían encontrar el concepto de llaves de seguridad o la configuración inicial en un dispositivo móvil un poco confusa.

Impacto en la Seguridad

El impacto de FIDO2 en la seguridad web es potencialmente enorme, ya que reducen tremendamente la capacidad de impacto de por ejemplo los ataques de phishing, robo de credenciales y fuerza bruta se vuelven mucho más difíciles de llevar a cabo, ya que los atacantes necesitan acceso físico al autenticador del usuario, y la clave privada nunca se comparte con el servidor.

Además, la naturaleza de las claves criptográficas únicas por sitio hace que las filtraciones de bases de datos de contraseñas sean mucho menos dañinas para los usuarios, ya que las credenciales robadas no podrán utilizarse en otros servicios. FIDO2 representa un paso significativo hacia un internet más seguro y resistente a los ataques.

Conclusión final

Como hemos podido ver en este pequeño articulo, FIDO2 y su componente WebAuthn son herramientas poderosas que aunque no solucionan todos los problemas, si consigue minimizarlos y lo que es mas importante, ponerle las cosas mas complicadas a los malos para acceder a nuestra información. Si bien todavía existen desafíos en su adopción, especialmente en entornos empresariales complejos y en la educación de los usuarios, los beneficios en términos de seguridad y experiencia de usuario son innegables.