icon

¿Qué es FIDO2 y cómo funciona? Ventajas y desventajas de la autenticación sin contraseña

¿Qué es FIDO2 y cómo funciona?

 

Iniciar sesión en un sitio web o servicio utilizando la combinación tradicional de nombre de usuario y contraseña ya no es la mejor ni más segura forma de hacerlo. A medida que los ciberdelincuentes se vuelven más avanzados tecnológicamente, los métodos de protección de datos también deben avanzar. Aquí es donde nuevos estándares de autenticación como FIDO2 pueden convertirse en una herramienta útil para combatir el problema.

Pero, ¿qué es la autenticación sin contraseña de FIDO2 y qué herramientas de autenticación se utilizan en lugar de contraseñas? ¿Cómo funcionan incluso las claves de seguridad de FIDO2? Responderemos estas y muchas otras preguntas esenciales relacionadas con este estándar de autenticación sin contraseña en esta visión general detallada. Continúa leyendo para aprender todo sobre el protocolo FIDO2.

Contenidos

¿Qué es FIDO2? El nuevo estándar sin contraseña

¿Cómo funciona FIDO2?

FIDO2 vs. FIDO U2F - ¿Cuál es la diferencia?

Ventajas y desventajas de FIDO2

Casos de uso de FIDO2

Comenzando con la autenticación FIDO2

¿Qué es FIDO2? El nuevo estándar sin contraseña

FIDO significa Identidad Rápida en Línea. Con un número dos añadido al final, este acrónimo se basa en trabajos previos realizados por la Alianza FIDO, particularmente en términos de desarrollar el estándar de autenticación Universal de 2da Factor (U2F).

La Alianza FIDO fue fundada en julio de 2012 por PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon y Agnitio. El objetivo de esta alianza era reducir la dependencia de contraseñas tradicionales y mejorar cómo funciona la autenticación de identidad.

FIDO es el tercer estándar que surge de la Alianza FIDO, luego del Factor Universal de 2da Factor (U2F) de FIDO y el Marco de Autenticación Universal (UAF) de FIDO.

El objetivo principal de FIDO2 es eliminar el uso de contraseñas en Internet. Se desarrolló para introducir estándares abiertos y libres de licencia para una autenticación sin contraseña segura en Internet.

El proceso de autenticación FIDO2 elimina las amenazas tradicionales que conlleva el uso de un nombre de usuario y contraseña, reemplazándolo con el estándar de inicio de sesión FIDO2. Como tal, protege contra ataques en línea comunes como phishing y ataques de intermediario.

En mayo de 2022, Apple, Google y Microsoft anunciaron su apoyo a los nuevos conjuntos de estándares para la autenticación sin contraseña. Popularmente conocidos como “passkeys” por los proveedores, este nuevo esquema de "credencial FIDO multi-dispositivo" atrajo mucha atención debido al hecho de que las credenciales podrían sobrevivir a la pérdida de un dispositivo.

Un passkey es lo mismo que una clave FIDO en esencia, ya que el passkey se genera una vez que el usuario verifica su identidad. Estos passkeys consisten en un par de claves pública y privada con cifrado de extremo a extremo que asegura las credenciales al sincronizarlas en diferentes dispositivos.

¿Cómo funciona FIDO2?

El protocolo FIDO2 utiliza criptografía de clave pública para garantizar un sistema de autenticación seguro y conveniente. El estándar FIDO2 utiliza una clave pública y privada para validar la identidad de cada usuario y lograr esto. Para usar la autenticación FIDO2, tendrás que registrarte en servicios compatibles con FIDO2.

Entonces, ¿cómo se ve esto en la práctica? Aquí tienes un ejemplo rápido de FIDO2 que ilustra cómo funciona el protocolo FIDO2:

  1. Cuando el usuario intenta un inicio de sesión FIDO2 en una aplicación, el servidor FIDO2 utiliza WebAuthn para enviar un desafío al cliente FIDO, exigiéndole que firme los datos con la clave privada de FIDO2.
  2. El usuario luego utiliza el método de autenticación previamente configurado para responder a esta solicitud. Durante este proceso, se verifica el dominio del servidor FIDO2 para asegurarse de que sea el correcto que se usó anteriormente durante el registro. Este paso adicional de implementación de FIDO2 garantiza una fuerte resistencia al phishing.
  3. El cliente FIDO obtiene la clave privada de FIDO del autenticador. Esto puede ser a través de un passkey FIDO, una clave de seguridad física o una aplicación móvil.
  4. El cliente FIDO luego firma el desafío para demostrar su validez, y el usuario obtiene acceso a la plataforma o servicio.

Si bien las plataformas más grandes del mundo como Apple, Google y Microsoft están respaldando a FIDO, no son la única fuerza impulsora detrás de la Alianza FIDO y están colaborando junto a cientos de empresas en todo el mundo para hacer que la autenticación más simple y más fuerte sea una realidad.

Para configurar inicios de sesión sin contraseña, debes seguir algunos pasos de configuración:

  • Debes completar el formulario de registro correspondiente y elegir un autenticador FIDO2 (ya sea un dispositivo FIDO2 o un módulo de plataforma confiable).
  • El servicio generará un par de claves de autenticación FIDO2.
  • Tu autenticador FIDO2 enviará la clave pública al servicio, mientras que la clave privada que contiene información sensible permanecerá en tu dispositivo.

Flujo de autenticación FIDO

Flujo de Autenticación FIDO

Una vez que se habilita el camino de comunicación seguro, las credenciales de configuración se almacenan permanentemente, permitiendo inicios de sesión posteriores. Lo que es especialmente importante recordar para este proceso seguro de inicio de sesión web es que no intercambias ningún secreto con los servidores. La pieza crucial de información, que es tu clave de seguridad FIDO2, siempre permanece en tu dispositivo.

Por supuesto, también es esencial recordar que estos passkeys FIDO son solo un paso en el proceso, no la solución definitiva. Las organizaciones deben tener en cuenta que FIDO aún está evolucionando, y es crucial mantenerse al día con futuros cambios y adaptaciones.

Casos de Uso de Autenticación FIDO2

Entonces, ¿cómo afecta FIDO2 a la experiencia de usuario en general a través de ejemplos reales? Aún más importante para el usuario promedio, ¿en qué forma puedes implementarlo en tu vida diaria? Echemos un vistazo más de cerca a cómo puedes implementar el inicio de sesión sin contraseña FIDO2 en diferentes formas:

1. Autenticadores de plataforma

Estos tipos de autenticadores generalmente no son extraíbles del dispositivo del cliente, ya que ya están integrados en el dispositivo. En otras palabras, ningún otro dispositivo externo participa en el proceso de autenticación. Esto los hace muy convenientes para autenticaciones repetidas.

Autenticación de plataforma FIDO

Ejemplo de autenticación de plataforma

2. Autenticadores multiplataforma.

También conocidos como autenticadores itinerantes, estos son servidores de dispositivos externos que son extraíbles y se pueden usar en diferentes dispositivos. Con la autenticación multiplataforma, un dispositivo externo Bluetooth/NFC o una clave de seguridad física como la Hideez Key pueden usarse como autenticadores. La principal ventaja de los autenticadores multiplataforma es simplificar el proceso de autenticación desde nuevos dispositivos.

Autenticación multiplataforma FIDO2

Ejemplo de Autenticación Multiplataforma

FIDO2 vs. U2F - ¿Cuál es la diferencia?

Ahora que entendemos cómo funciona la autenticación FIDO2, también es útil hacer una comparación entre FIDO2 y FIDO U2F para determinar la diferencia. La diferencia más significativa entre ambas es que la primera fue creada para permitir que toda la autenticación sea sin contraseña. Por el contrario, FIDO U2F fue diseñado para servir como segundo factor para contraseñas.

Sitios web y servicios de FIDO2 y U2F

Para expandir esto, con el lanzamiento de FIDO2, U2F se ha fusionado efectivamente en FIDO2. Se renombró como CTAP1, sirviendo como un sólido segundo factor para el inicio de sesión de usuario. CTAP1 permite que los dispositivos U2F existentes funcionen como clientes de autenticación en sistemas habilitados para FIDO2.

Además, con el lanzamiento de FIDO2, CTAP2 se convirtió en el nuevo estándar junto con WebAuthn. Un autenticador moderno que utiliza CTAP2 también se conoce como autenticación FIDO2. Del mismo modo, si el autenticador FIDO2 también incluye CTAP1, también será compatible con la autenticación U2F estándar.

Ventajas y desventajas de FIDO2

Ventajas de FIDO2

La ventaja más significativa de la autenticación FIDO2 es que crea una ventana de ataque mucho más pequeña para los ciberdelincuentes. Para acceder a tu información privada sensible, los atacantes necesitarán un autenticador FIDO2, que físicamente siempre está contigo en forma de tu dispositivo o tus biometrías.

Si utilizas varios sitios compatibles con FIDO2, disfrutarás de otra ventaja en forma de una experiencia más simplificada, ya que no tendrás que recordar múltiples detalles de inicio de sesión y contraseñas para cada una de tus cuentas. La clave de seguridad FIDO2 U2F funcionará para todas las plataformas compatibles, ofreciendo máxima seguridad y comodidad para el usuario.

Desventajas de FIDO2

Por supuesto, como cualquier otro método de seguridad en el mundo, el estándar FIDO2 tiene ciertas desventajas. Estas desventajas no son impedimentos, pero es algo de lo que debes estar al tanto si planeas implementar el inicio de sesión sin contraseña FIDO2 como práctica de seguridad.

Es importante destacar que este estándar requiere un paso de seguridad adicional en comparación con los estándares tradicionales de inicio de sesión con contraseña si lo utilizas como un componente regular de autenticación de dos factores. Teniendo eso en cuenta, dicho sistema no es el más práctico si inicias sesión en varios dispositivos de seguridad habilitados para FIDO2 varias veces al día. 

Además, dado que este método de autenticación aún no está muy extendido, actualmente no hay muchos dispositivos de seguridad compatibles con FIDO2, aunque el número de plataformas habilitadas para FIDO y navegadores FIDO está en constante crecimiento. Por ejemplo, puedes habilitar el inicio de sesión sin contraseña con Facebook, Twitter, Google, Dropbox, GitHub y más de 300 otros servicios que admiten FIDO2 o FIDO U2F.

Navegadores compatibles con FIDO2

Soporte de Plataforma/Navegador FIDO de la Alianza FIDO

Comenzando con la autenticación FIDO2

Los ciberataques nos han demostrado que el factor de riesgo humano es un aspecto significativo de las brechas de seguridad cibernética. Con la implementación de FIDO2 y la autenticación sin contraseña, se elimina el factor de riesgo humano, lo que permite una experiencia de usuario mucho más segura. La implementación de FIDO2 encaja perfectamente en un marco de seguridad de confianza cero. Aparte de ser robusto y cumplir con las políticas de seguridad más estrictas, proporciona una experiencia de usuario conveniente

Grandes empresas de tecnología como Microsoft, Google y Apple ya están respaldando opciones de claves de seguridad FIDO. Aunque esta forma de inicio de sesión seguro todavía está en sus etapas iniciales, una cosa es segura: la autenticación sin contraseña es el futuro.

Para los niveles más altos de seguridad y conveniencia, Hideez ofrece un sistema de autenticación sin contraseña para organizaciones. Permite que cada organización implemente un servidor FIDO2 personal que habilitará una experiencia sin contraseña para todos los empleados sin costo alguno. Se puede configurar para funcionar con cualquier servicio web, incluso aquellos que no admiten protocolos FIDO por defecto. 

Cada usuario podrá elegir un método de autenticación preferido: ya sea paskeys (dispositivos personales), una aplicación móvil que convierte un smartphone en una clave FIDO, o una clave de seguridad física. Además, las claves físicas ofrecen características adicionales como inicio y cierre de sesión en PC basado en proximidad, acceso basado en contraseñas a sistemas heredados, generación de OTP y acceso físico a edificios basado en tecnología RFID. El diseño complejo de la Hideez Key garantiza tanto conveniencia como protección gracias a un conjunto único de características:

  • Acceso Digital Basado en Contraseñas - Esta característica de la Hideez Key proporciona una gran experiencia de usuario en general. Puedes usar la clave para bloquear o desbloquear tu PC con Windows 10 por proximidad y generar nuevas contraseñas complejas y contraseñas de un solo uso para autenticación de dos factores. Además, puedes almacenar hasta 1,000 accesos y contraseñas de tus cuentas existentes y asegurar su autofill seguro. Esto incluye también carpetas locales protegidas por contraseña, archivos PDF, Word, ZIP y cualquier otro documento que desees mantener seguro.
  • Acceso sin Contraseña - El dispositivo también admite FIDO U2F y FIDO2, los dos estándares de autenticación abiertos dirigidos a reducir la sobredependencia mundial de las contraseñas. Significa que la Hideez Key puede utilizarse para autenticación sin contraseña y 2FA en navegadores y plataformas admitidos por FIDO (servicios de Google y Microsoft, Facebook, Twitter, Dropbox, Azure AD, etc.), cuyo número está creciendo constantemente. La Hideez Key admite de forma inalámbrica la autenticación FIDO en dispositivos con Windows 10 y Android 8+ a través de la tecnología Bluetooth Low Energy (BLE).
  • Inicio de Sesión por Proximidad - Un bloqueo por proximidad integrado protegerá tu computadora cada vez que te alejes. Usando la Hideez Key, puedes bloquear y desbloquear automáticamente tu estación de trabajo de Windows en función de la fuerza de Bluetooth entre la clave y tu PC. Puedes personalizar cómo deseas bloquearlo ajustando umbrales de proximidad preferidos y eligiendo el método de desbloqueo.
  • Acceso Físico - Además del acceso digital, la Hideez Key también proporciona un acceso físico conveniente. Un tag RFID integrado puede ser preprogramado para abrir cualquier cerradura de puerta RFID en edificios de oficinas, centros de datos, fábricas, etc., reemplazando así una tarjeta inteligente.
  • Protección Reforzada - La Hideez Key proporciona protección mejorada contra phishing, pharming y todos los demás ataques relacionados con contraseñas. Además, a diferencia de la mayoría de los administradores de contraseñas, la Hideez Key no envía credenciales a la nube ni a terceros.

Con el Servicio Hideez, cada organización puede implementar la autenticación sin contraseña por $6 por usuario al mes. Comienza una prueba gratuita de 30 días para entender cómo funciona y ver los beneficios de la autenticación sin contraseña en entornos laborales.