Apple se une a FIDO para avanzar hacia el final de las contraseñas

Apple ha decidido empujar en la lucha para acabar con las contraseñas uniéndose a la Alianza FIDO (Fast Identity Online), una grupo sobre estándares de autenticación dedicado a sustituir las contraseñas con otro método más rápido y seguro para conectarse a servicios online y apps. Se une así a otros grandes de la tecnología que según Computerworld ya estaban en esta alianza, como Amazon, Facebook, Google, Intel, Microsoft, Qualcomm, VMware y la RSA.

Las tecnológicas no son las únicas compañías que forman parte de la Alianza FIDO, ya que también hay en ella varias entidades dedicadas a los servicios financieros, como American Express, ING, Mastercard, PayPal, Visa y Wells Fargo. Puesta en marcha en 2012, su finalidad es impulsar la autenticación en dos pasos en apps y servicios porque los códigos de acceso son muy inseguros.

De manera conjunta con la W3C, FIDO ha desarrollado y está utilizando la API Web Authentication (WebAuthn). En la actualidad ya la soportan, en distintos niveles, los principales navegadores, como Chrome, Firefox y Edge. Además, estos navegadores también son compatibles con la creación de credenciales en la nube mediante un token U2F, que es el que puede hacer que Bluetooth, NFC o USB proporcionen la autenticación en dos pasos a apps y servicios online.

En 2018 Apple anunció que añadía soporte experimental al protocolo WebAuthn en Safari, y el pasado mes de diciembre añadió soporte nativo a las llaves de seguridad que cumplen los estándares de FIDO. Como las de Yubico, que usa el estándar WebAuthn para NFC, USB o Lightning en iOS 13.3.

En general, las especificaciones de FIDO implican que los servicios digitales de bancos y las webs de comercio electrónico, entre otros, puedan reconocer a sus usuarios a través de los dispositivos que utilizan, en vez de mediante nombres de usuario y contraseñas. Con ellas, por ejemplo, los usuarios pueden registrarse en un servicio online, registrar sus dispositivos y elegir un sistema de autenticación entre la huella dactilar, el reconocimiento de rostro o incluso un PIN. Pero sin que haga falta una contraseña para acceder a dicho servicio.

Las especificaciones de FIDO funcionan permitiendo a cualquiera que las use obtener acceso a una app o servicio online con un par de clave privada y clave pública. Cuando un usuario se registra en un servicio online, el dispositivo que se encarga de permitir la autenticación genera un par de claves privada y pública único. La clave privada se almacena en el dispositivo del usuario, y la pública se asocia con dicho dispositivo a través del servicio online o de una app.

La autenticación se lleva a cabo entonces a través del servidor cliente, que envía una consulta electrónica al dispositivo del usuario. Entonces se usan las claves privadas, pero solo después de que están desbloqueadas localmente en el dispositivo por parte del usuario. Este desbloqueo en local se consigue mediante una acción segura, como las realizadas mediante identificadores biométricos como la huella dactilar o el rostro. También con un pin, hablando a un micrófono o introduciendo un segundo elemento de autenticación.