Google, Microsoft y Mozilla apoyan la nueva API WebAuthn
Tres importantes fabricantes de navegadores, Google, Microsoft y Mozilla, han respaldado oficialmente una nueva API W3C llamada Web Authentication (WebAuthn) que se anuncia como una alternativa confiable a la autenticación en línea sin contraseña.
La nueva API permitirá a los usuarios iniciar sesión en aplicaciones web y sitios web utilizando otros métodos de autenticación además de las contraseñas, el sistema utilizado actualmente por todos los sitios web. Esto incluye claves de seguridad de hardware, huellas dactilares, reconocimiento facial, escaneos de iris y otras soluciones biométricas.
Google, Microsoft y Mozilla han dicho que planean admitir la nueva API de WebAuthn dentro de Chrome, Edge y Firefox, respectivamente. Se ha anunciado el soporte para WebAuthn para Chrome 67 y Firefox 60.
El trabajo en WebAuthn comenzó en 2015
El trabajo en esta nueva API del W3C (World Wide Web Consortium) comenzó en noviembre de 2015, cuando la Alianza FIDO (Fast IDentity Online) donó la API web FIDO 2.0 al W3C.
Las versiones más recientes de la antigua API web de FIDO 2.0 son las que actualmente permiten a los usuarios iniciar sesión en Google, Facebook, Dropbox, GitHub y más utilizando tokens secretos almacenados en memorias USB YubiKey (también conocidas como llaves de seguridad de hardware).
La API de WebAuthn funcionará de manera similar a la API web de FIDO 2.0, solo que admitirá una multitud de sistemas de autenticación además de las claves de seguridad almacenadas en USB.
WebAuthn también viene con CTAP
Pero además de WebAuthn, la API que se implementará dentro de los navegadores, responsable de la interacción con sitios web remotos, la Alianza FIDO también anunció hoy el Protocolo de autenticador del cliente (CTAP).
CTAP es un complemento de la API W3C WebAuthn, y su función principal es conectar el navegador al sistema de autenticación de terceros, como la clave de seguridad NFC/USB o el sensor de huella digital subyacente de un portátil/teléfono inteligente, para recibir la prueba de autenticación.
Ambas API deberán trabajar juntas para que este nuevo esquema de autenticación más seguro funcione.
WebAuthn es más seguro para el usuario, más seguro para el creador de un sitio web
Según los expertos de W3C y FIDO, la mayor victoria es para los usuarios, que ahora serán inmunes a los ataques de phishing, man-in-the-middle y de autenticación que utilizan contraseñas robadas.
Pero además de usuarios, WebAuthn también es una bendición disfrazada para los propietarios de sitios web, que en lugar de tener que lidiar con complejos procedimientos de autenticación y almacenar contraseñas de usuarios en servidores seguros, podrán diferir el procedimiento de autenticación a una API integrada dentro de los navegadores y hardware/sistemas de terceros.