El Consorcio que gestiona los estándares en Internet (W3C) acaba de anunciar que WebAuthn (autenticación web) ya es una especificación estandarizada. Esta tecnología permite iniciar sesión en webs como tiendas online, bancos y aplicaciones de forma segura usando biometría, dispositivos móviles o claves especiales. Es decir, ya no es necesario tener una contraseña.
Este avance permite hacer las webs más seguras y fáciles de usar, ya que va más allá de las vulnerables contraseñas y de la verificación en dos pasos.
Las contraseñas ya no son suficientes
Con los años las contraseñas han perdido eficacia. Por un lado, los usuarios tendemos a usar contraseñas débiles, que son fáciles de recordar pero también son fáciles de adivinar. Por si fuera poco, también tendemos a dejar las contraseñas que vienen por defecto. Estas dos situaciones son tan comunes que son el origen del 81% de las brechas de seguridad de datos según el informe 2017 Data Breach Investigations Report. Esto se suma a que solemos usar la misma contraseña para multitud de webs y servicios
[Tweet "El 81% de las brechas de seguridad de datos son por usar contraseñas por defecto o débiles"]
Por otro lado, la verificación en dos pasos tampoco es tan segura como pudiera parecer. Con este método, se recibe un SMS con un código de un solo uso que sirve para validar que el usuario que ha introducido la contraseña es realmente quien dice ser. Recientemente se ha demostrado que este sistema también es vulnerable a ataques de phishing en redes sociales como Twitter o en servicios de correo como Gmail o Yahoo. Además, hay una preocupación creciente por la privacidad, ya que recientemente se ha sabido que Facebook podría estar usando, sin permiso, el número de teléfono no solo para la verficación de seguridad, sino para mostrar publicidad y otras funciones.
Ventajas de WebAuthn
WebAuthn es una parte importante de un conjunto de normas más amplio denominado FIDO2 y que tratan de establecer nuevos estándares para una autenticación más simple y segura.
- Más seguridad: las credenciales de acceso cifradas de FIDO2 son únicas para cada web o dispositivo nunca salen del dispositivo del usuario y nunca se almacenan en el servidor. Esto elimina el riesgo de ataques de phishing y robo de contraseñas.
- Usabilidad: el usuario inicia sesión fácilmente con un método de su elección, como lector de huellas, cámara, claves seguras FIDO o su dispositivo móvil.
- Privacidad: dado que las claves criptográficas que crea este sistema son únicas para cada sitio web, no pueden ser usadas para hacer seguimiento de la navegación de los usuarios
- Escalabilidad: la implementación de esta tecnología es relativamente sencilla. Se usa mediante una API que ya es compatible con las principales plataformas.
WebAuthn ya está disponible en las últimas versiones de los principales navegadores: Chrome, Firefox, Edge y Safari. También lo soportan los sistemas con Windows 10 y Android. Dropbox y Microsoft ya la están usando. Poco a poco se irá implantando en multitud de servicios y añadirá confianza y seguridad al comercio electrónico y a Internet en general.
Vía W3C
Agencia Certificada
