FIDO, abreviatura de Fast IDentity Online, es un consorcio de la industria iniciado en 2013 para abordar la falta de interoperabilidad entre los dispositivos de autenticación fuerte y los problemas que enfrentan los usuarios al crear y recordar múltiples nombres de usuario y contraseñas. Entre los fundadores se encontraban aquellos que trabajan en el sector financiero, fabricantes de dispositivos y proveedores de soluciones de autenticación.

¿Qué es FIDO?

De acuerdo con el  sitio web de FIDO Alliance , FIDO es un conjunto de estándares abiertos y escalables que permiten experiencias de autenticación de usuarios más simples y seguras en muchos sitios web y servicios móviles.

FIDO se propuso hacer que los dispositivos de autenticación sean más fáciles de usar y corregir los conflictos entre dispositivos de diferentes proveedores. Su objetivo es proporcionar un conjunto de especificaciones para toda la gama de técnicas de autenticación. Estas especificaciones deben proporcionar un estándar para toda la industria, lo que conduce a una mejor compatibilidad y una mayor facilidad de uso.

Iniciar sesión

Actualmente, hay una variedad de opciones para que los usuarios inicien sesión en sus servicios y dispositivos. Hemos discutido los conceptos básicos de la autenticación de dos factores (2FA) en el pasado, y casi todos están de acuerdo en que no es práctico recordar 27 o más contraseñas  y nombres de usuario para cuentas individuales, ni tampoco es seguro reutilizar las contraseñas a través de varias cuentas. Entonces, ¿cuáles son nuestras opciones para iniciar sesión?

Los más comunes se dividen en estas categorías:

  • La combinación clásica de nombre de usuario y contraseña.
  • Conocer un código PIN o TAN (retiros en cajeros automáticos, transferencias de dinero)
  • Tener acceso a una cuenta de correo electrónico (cuando los códigos de verificación se envían por correo) o dispositivo móvil (códigos de texto)
  • Preguntas secretas (a menudo mal vistas, ya que a veces son fáciles de adivinar o de obtener mediante phishing)
  • Llaves físicas (lectores de tarjetas, llaves USB)
  • Biometría (lectores de huellas digitales, escáneres de iris, reconocimiento de voz)
  • Dispositivos móviles que pueden escanear códigos de barras o códigos QR y calcular un código de inicio de sesión para un solo uso (Authy, Google Authenticator)
  • Ya inicié sesión en una cuenta verificada (por ejemplo, inicio de sesión de Facebook)

Problemas y soluciones

A medida que FIDO busca estandarizar los protocolos de autenticación para la amplia gama de opciones de inicio de sesión enumeradas anteriormente, deben identificar las técnicas que son problemáticas desde el punto de vista de la seguridad y buscar soluciones.

Uno de los problemas con muchas de las opciones de inicio de sesión es el uso de secretos compartidos, lo que significa que tanto el usuario como el software que comprueba el inicio de sesión deben conocer las respuestas correctas. Es posible que pueda guardar un secreto, pero se podría engañar a su software para que entregue toda su información a los atacantes. En forma regular, logran violar la seguridad de los sitios o servicios y obtener una multitud de credenciales de inicio de sesión.

Una solución para este problema es usar criptografía asimétrica. Básicamente, un usuario crea dos claves diferentes, una privada y una pública. Cuando un usuario prueba que tiene la clave privada respondiendo a un desafío, el servicio o el sitio web pueden verificar la respuesta que el usuario proporcionó al desafío mediante el uso de la clave pública, que el usuario proporcionó al sitio web o al servicio cuando se registró. . Como un apretón de manos, el servidor le hace al usuario una pregunta basada en la clave pública que solo el titular de la clave privada puede responder. Pero la respuesta no da la clave privada real.

El desafío se crea especialmente para ese intento de inicio de sesión, por lo que la respuesta no se puede utilizar para otro inicio de sesión con el mismo servicio o un servicio diferente. De esta manera, el usuario es el único que puede responder al desafío y el único que tiene acceso a ambas claves.

Ventajas y desventajas

Las ventajas de usar criptografía asimétrica son claras:

  • Es fácil de usar sin tener que recordar una contraseña.
  • El cifrado asimétrico fuerte no puede ser forzado brutalmente, a diferencia de las contraseñas débiles.
  • La misma combinación de teclas puede usarse para múltiples inicios de sesión (no debe confundirse con la pregunta de desafío, que se genera de forma única para cada intento de inicio de sesión).
  • Es imposible robar de sitios web y servicios, incluso usando  ataques Man-in-the-Middle , porque la clave privada nunca se envía a través de Internet.

Un importante contratiempo podría ser si el usuario alguna vez le diera su clave privada a un tercero, por ejemplo, porque la perdió o porque fue víctima de un ataque de phishing que solicitó directamente la clave privada. En tal caso, el uso de este método en una multitud de sitios y servicios significa que el usuario tiene una gran cantidad de problemas: cada servicio con el que inició sesión usando este combo podría verse comprometido.

¿Qué tiene que ver FIDO con esto?

La Alianza FIDO aloja el estándar de autenticación abierta FIDO2 , que permite una autenticación sólida y sin contraseña basada en criptografía de clave pública utilizando dispositivos de hardware como claves de seguridad, teléfonos móviles y otros dispositivos integrados. Lo hace utilizando tanto la especificación de autenticación web W3C (API WebAuthn) como el protocolo de autenticación de cliente (CTAP), un protocolo utilizado para la comunicación entre un cliente (el navegador) o una plataforma (el sistema operativo) y un autenticador externo, es decir , la clave de seguridad del hardware.

Con estas capacidades, la clave de seguridad del hardware puede reemplazar las credenciales débiles y estáticas del nombre de usuario y la contraseña con credenciales sólidas de clave pública / privada respaldadas por hardware.

Debido a que FIDO2 es un estándar abierto, el dispositivo de seguridad puede diseñarse para el hardware existente, como teléfonos o computadoras, y para muchas modalidades de autenticación. Además, se puede usar para diferentes métodos de comunicación, como USB, Bluetooth y Near Field Communication (NFC), lo que permite que la autenticación sin contacto se realice de forma segura desde muchos sistemas y dispositivos.

FIDO2 se puede mejorar aún más para las organizaciones que requieren un mayor nivel de seguridad, ya que admite el uso de un dispositivo de autenticación de hardware con un PIN, biométrico o gesto para obtener protección adicional.

Demostrando tu identidad en el futuro.

Donde FIDO ha permitido a la industria dar pasos hacia un método más seguro de autenticación en línea, aún está lejos de ser el estándar que se propone ser. El uso actual de FIDO se limita a aplicaciones y organizaciones de alto nivel.

Y a pesar de que los navegadores y sistemas operativos han comenzado a desarrollar soporte integrado para FIDO2, aún no están listos para el mercado. Además, una nueva certificación de Universal Server para servidores que opera con todos los tipos de autenticadores FIDO (FIDO UAF, FIDO U2F, WebAuthn y CTAP) está en camino. E incluso cuando esas etapas estén completas, los sitios web y los servicios que requieren un método de autenticación seguro probablemente necesiten algo de convicción para comenzar a usar este nuevo formato. Y, finalmente, solo una vez que los primeros adoptantes se hayan adaptado a la tecnología y cantado sus elogios, el uso más general seguirá su ejemplo.

Alternativas

El uso de claves asimétricas es el método más lógico y seguro para probar su identidad en este momento, pero muy bien podría ser reemplazado por una tecnología de cadena de bloques . Dada la tasa de desarrollo de la tecnología blockchain, especialmente en comparación con los avances relativamente lentos realizados en FIDO, este es un escenario probable. Y no ayuda que los estándares de la competencia se creen como el PCI-DSS, en lugar de agrupar los esfuerzos para crear un estándar que abarque todo.

El único estándar para gobernarlos a todos será probablemente el que tenga la mayor aplicabilidad. Ser capaz de iniciar sesión en cualquier lugar sin la molestia de las contraseñas casi parece demasiado bueno para ser cierto, pero las respuestas están ahí fuera. Con suerte, con la aplicación del mejor estándar, veremos un futuro con menos brechas y más tranquilidad.