Qué es WebAuthn

Conoce que es WebAuthn: Sustituto de Contraseñas

En los últimos años las contraseñas han sido unas de las piezas primordiales al momento de ingresar en cualquier aplicación, pero con la creación de múltiples servicios en línea se convirtió en la parte fundamental de los sistemas informáticos. Es una tarea muy tediosa tener en la memoria distintas combinaciones y ha creado hábitos no recomendados a los usuarios de elegir patrones que son fáciles de recordar. Cabe destacar que esta fue una gran debilidad aprovechada por profesionales dedicados a los ataques informáticos.

En su momento hubo numerosas ideas por resolver la problemática de la administración de las claves de acceso. Desde la iniciativa de sumar un proceso extra de seguridad, como la autenticación de dos pasos, hasta otras modalidades más atractivas, como las píldoras y los tatuajes. Sin embargo, las organizaciones W3C y FIDO Alliance, las cuales fueron dos de los estándares más utilizados en la Web, publicaron WebAuthn, conocida como una modalidad de identificación de los usuarios con base en los sistemas biométricos como el reconocimiento facial y la huella dactilar.

Ahora bien, WebAuthn estará disponible para que un navegador web o sistema tenga la capacidad de reconocer a un usuario a través de la solicitud de confirmación de un dispositivo seguro, como una tableta, pendrive o teléfono móvil o mediante su huella dactilar.

La creación de esta modalidad de autenticación tiene como finalidad erradicar los ataques que se basan en Phishing (técnica delictiva dedicada a la sustitución y hurto de identidades para acceder a un sistema informático). Algo también muy importante de WebAuthn es la participación de Mozilla, Google y Microsoft en implementar este estándar en sus navegadores y de manera extensiva y paulatina, a los sistemas operativos como Chrome Os, Android, Windows, Linux y Mac. Es muy importante aclarar que esta función se encuentra en su etapa inicial y se espera que se extienda en los browsers Firefox, Chrome y Edge.

¿Para qué está diseñado WebAuthn?

WebAuthn está diseñado para trabajar con autenticación de varios factores, factiblemente en esquemas sin contraseña que tienden a utilizar a verificación biométrica o de gestos en lugar de requerir numerosos carácteres. También está diseñado para que funcione con varios mecanismos de autenticación de clave pública, a partir de ejecuciones de software puro hasta hardware especializados, como un módulo de plataforma confiable, ejecución de un procesador o un token de hardware externo a el que se ingresa por USB, comunicaciones de campo cercano (NFC) o Bluetooth de muy baja energía. Esto proviene de los estándares previos de Universal 2nd Factor (U2F) de FIDO Alliances y del Marco universal de Autenticación (UAF) y se encuentra diseñado para funcionar con el protocolo de autenticador cliente (CTAP).

¿Pero qué objetivo tiene WebAuthn en nuestra vida?

El objetivo de esta modalidad de autenticación es que los usuarios puedan identificarse en cualquier aplicación o web utilizando la lectura del iris, la huella del dedo o una imagen de nuestro rostro obtenida mediante la cámara. Esta aplicación es multiplataforma, una de sus ventajas, es que se puede usar el móvil para acceder a cualquier página desde el navegador de nuestro computador o se puede usar una Yubikey (clave de seguridad) si resulta más cómodo.

Para poder aclarar más el tema, WebAuthn busca hacer posible es que los usuarios entren, por ejemplo, en Amazon, Gmail, Spotify o Facebook mediante su huella dactilar, como se haría para desbloquear la pantalla del el móvil y además que sea indiferente si entran desde Safari, Edge, Mozilla o Chrome, todo esto con el fin de reforzar la seguridad y despidiéndose de las contraseñas tediosas.

Otras ventajas de WebAuthn son:

• La autenticación se reduce a un solo paso, ciertamente la primera vez que los usuarios usen el sistema tendrán que ingresar algún código que les llegara a través de un mensaje de texto, luego los logins deberán ser solo mirar a la cámara o simplemente colocar el dedo en el lector de huella.
• Las credenciales de los usuarios sean huellas o su rostro, nunca se borraran del dispositivo y en ningún momento se guardan en el servidor de las compañías, Así, es se evita que caiga en manos de los delincuentes, por causa de una fuga de información.
• Quedó en el pasado la reutilización de claves y el usuario no tiene que pensar en una diferente para cada servicio.

¿Porque hoy en día no estamos utilizando WebAuthn?

Jeff Jaffe, responsable de World Wide Web Consortium (W3C), asegura que este sistema de autenticación cambiara la forma de acceder a la web, y por eso recomendó a todos los desarrolladores que se agreguen a este estándar, esto sería un paso muy importante para que tenga éxito.

Como todo en la tecnología el mayor reto que se le presenta a WebAuthn es poder obtener la adopción, mientras Amazon, Facebook, etc no lo hayan ejecutado, este sistema no será más que una promesa, es evidente que las aplicaciones y las páginas pequeñas no se tomaran el tiempo de modificar su código para incluir el nuevo sistema hasta que los grandes hayan dado el paso.

Lo que nos alienta es que la aplicación ya cuenta con el respaldo de las empresas responsables de los sistemas operativos y navegadores, Firefox y Mozilla ya lo incluyeron desde su última actualización, Microsoft Edge y Google Chrome se comprometieron a implementarlo los próximos meses, también los responsables de los equipos Windows Hello y Android se están encomendando a que sus ordenadores y móviles sean completamente compatibles y Apple ha expresado su valioso apoyo y da fe de que sus ingenieros están trabajando en la tarea, claro sin tener una fecha en concreto.

Para concluir es esencial que tengamos en cuenta que después de tantos años de aceptar violaciones de datos, esta es la oportunidad de que los proveedores de servicios dejen de depender de contraseñas vulnerables, es evidente que deben deshacerte de aquellos códigos de acceso únicos y optar por la autenticación FIDO. Según Jeff Jaffe, existen muchos problemas vinculados con la seguridad web y hasta ahora no se puede reparar todos. Pero tener confianza en contraseñas es una de los puntos más débiles. Con WebAuthn eliminaremos ese vínculo.