La Alianza FIDO has estado buscando reemplazar los inicios de sesión solo con contraseña con experiencias de inicio de sesión rápidas y seguras en sitios web y aplicaciones mediante el emergente estándar WebAuthn.
Sus esfuerzos han sido respaldados por muchas de las principales empresas de tecnología y comercio electrónico, a excepción de Apple, que ahora se ha unido a FIDO.
«Las contraseñas son como las cucarachas de Internet y las empresas han tratado de matarlas durante años», dijo Merritt Maxim, analista de seguridad principal de Forrester Research en una entrevista con CNBC.
WebAuthn es una especificación escrita por el W3C y FIDO. Su interfaz de programación de aplicaciones (API) permite a los servidores registrar y autenticar a los usuarios utilizando criptografía de clave pública en lugar de una contraseña.
Aunque Apple se ha mantenido a un paso de los esfuerzos de la Alianza FIDO para deshacerse de ellos, eso ha cambiado recientemente.
En 2018, el equipo del navegador Webkit de Apple, agregó «soporte experimental» para WebAuthn. En diciembre de 2019, Apple agregó soporte nativo para claves de seguridad compatibles con FIDO, como YubiKey, utilizando el estándar WebAuthn sobre comunicación de campo cercano (NFC), USB o Lightning en iOS 13.3.
WebAuthn permite a los usuarios registrarse y autenticarse en sitios web o aplicaciones móviles utilizando un autenticador criptográfico de clave pública en lugar de una contraseña. Esta puede ser una clave de seguridad de hardware, como las de Yubico; una identificación biométrica derivada del sensor de huellas digitales de la PC o teléfono inteligente, o un programa de autenticación basado en dispositivo.
Rolf Lindemann, copresidente del Grupo de Trabajo de Requisitos de Seguridad de FIDO, dijo: «Actualmente, existe soporte completo de FIDO en tres plataformas principales: Google Android y Chrome, Microsoft Windows y Edge, y Mozilla Firefox».
Si bien los programas de seguridad y autenticación de terceros, como Nok Nok S3 Suite admitieron inicios de sesión de WebAuthn en aplicaciones móviles en iOS y Apple Watch Appls, «algunas organizaciones han dudado en implementar FIDO porque no hubo un compromiso público de Apple a FIDO. Ahora, con la incorporación de Apple, todos los principales proveedores de plataformas FIDO Alliance prueban que el mundo finalmente está listo para esta tecnología».
Lindemann cree que ahora que Apple está viendo de primera mano hacia dónde se dirige FIDO, puede ayudar a dirigirlo. Esto «resulta en soporte para la autenticación sin contraseña que mejor se adapte al ecosistema Apple».
Ahora que Apple se comprometió públicamente a apoyar a FIDO y WebAuthn, finalmente se puede dar un paso adelante para omitir el uso de contraseñas.
