Protocolos de autenticación FIDO para generar confianza los clientes
La autenticación en cualquier servicio digital es una de las piezas clave para establecer la confianza entre cliente/usuario y proveedor.
Cada vez hay más ataques contra los servicios de usuario y contraseña, y, de hecho, depender sólo de ella para poder acceder o autorizar a importantes servicios personales o empresariales es cada vez más arriesgado.
Se busca incluso llegar a prescindir de la contraseña para estos servicios, utilizando en su lugar elementos menos vulnerables.
En paralelo, el concepto de Doble Factor de Autenticación (2FA) o de multifactor de autenticación (MFA) se ha puesto de moda como mecanismo adicional para proteger un poco más nuestras cuentas y operaciones.
Pero estos mecanismos dependen de cada fabricante, tanto de dispositivos físicos (tokens) como de cada forma de implementación, aunque para el usuario final en algunos caso parezcan similares.
Para resolver estos desafíos, se creó hace unos años la FIDO Alliance (Fast Identity Online), una asociación inicialmente formada por firmas como PayPal y Lenovo entre los más conocidos, a la que luego se unió Google, y recientemente también Samsung y Microsoft.
La autenticación FIDO está basada en estándares abiertos, por tanto, no depende de la implementación a medida de tecnologías como el doble factor de autenticación, que haga cada fabricante en particular para su servicio. Esto supone ventajas para la interoperabilidad de servicios, así como ofrece también mayor seguridad a los usuarios con su hardware habitual o nuevo.
También permite una mayor competencia, porque se puede elegir entre las distintas opciones compatibles existentes en el mercado, con similar tecnología base.
Protocolos FIDO
Existen distintos protocolos disponibles en FIDO:
- U2F: Universal 2nd Factor, una llave criptográfica estándar para proteger la cuenta con este elemento físico que llevamos a cuestas y que conectamos en cualquier ordenador.
- UAF: Universal Authentication Framework, un marco de trabajo para reforzar la seguridad de un servicio (por ejemplo, web) utilizando los desafíos de seguridad que se pueden implementar en un dispositivo móvil: biometría por huella dactilar, iris, voz o cara, patrón de desbloqueo del móvil, PIN, etc. Así como utilizar la ubicación GPS aceptable del usuario para permitir la autenticación.
- FIDO2: un estándar más moderno que utiliza nueva especificación JavaScript API, llamada “Web Authentication” (WebAuthn). Incorpora beneficios similares a los dos estándares anteriores con una tecnología distinta. Está ayudando a extender estas tecnologías rápidamente. Compatible por ejemplo con la mayor parte de los navegadores de internet modernos, muchos servicios digitales e incluso el inicio de sesión de Windows (Hello).
En cada sector, las necesidades respecto a la autenticación personal y la autorización de operaciones son distintas, pero tal vez el sector bancario sea uno de los más afectados. La normativa europea PSD2, que le aplica, introduce requerimientos de autenticación fuerte de usuarios y de transacciones firmadas criptográficamente.
Nuestro producto Wallet ID se basa en el estándar FIDO, y proporcionar una autenticación segura multifactor y una firma avanzada de documentos, tanto en navegadores como en dispositivos móviles, incluso totalmente multidispositivo.
¿Conoces Wallet ID?
Identidad Digital Segura en tu Móvil
Identificación sencilla y segura mediante dispositivos móviles para autorización y firma electrónica de operaciones y documentos.