AmpliarPablo Viojo / Flickr
El Consorcio World Wide Web (W3C) y la Alianza FIDO hoy anunció que una nueva especificación, WebAuthn (“Autenticación web”) había sido promovido a la etapa de Recomendación del candidato, el penúltimo etapa en el proceso de estándares web.
WebAuthn es una especificación que permite a los navegadores exponer hardware dispositivos de autenticación (USB, Bluetooth o NFC) a sitios en la Web. Estos dispositivos de hardware permiten a los usuarios demostrar su identidad a sitios sin requerir nombres de usuario y contraseñas. La especificación ha sido desarrollado como un esfuerzo conjunto entre FIDO, un organismo industrial que desarrollando sistemas de autenticación segura y W3C, la industria grupo que supervisa el desarrollo de estándares web.
Con los navegadores y sitios habilitados para WebAuthn, los usuarios pueden iniciar sesión utilizando tanto hardware biométrico integrado (como la huella digital) y sistemas de reconocimiento facial que están ampliamente implementados) y sistemas de autenticación externos como el popular YubiKey USB hardware. Con WebAuthn, ninguna credencial de usuario abandona el navegador. y no se utilizan contraseñas, lo que proporciona una fuerte protección contra phishing, ataques de hombre en el medio y ataques de repetición.
Microsoft, Google y Mozilla se han comprometido a apoyar WebAuthn. Chrome 67 y Firefox 60, ambos por su estabilidad lanzamiento en mayo, ambos tendrán WebAuthn habilitado de forma predeterminada.
WebAuthn se basa en una especificación anterior de FIDO llamada Factor de autenticación universal (UAF). UAF no vio mucha aceptación en los principales navegadores, y su especificación no era clara sobre cómo debería funcionar con navegadores móviles. WebAuthn tiene un fuerte respaldo de los principales proveedores de navegadores y también está diseñado para ser más versátil. Es capaz de manejar un rango más amplio de autenticación factores, que cubren no solo la biometría y los autenticadores de hardware, pero también PIN o incluso pruebas más básicas que simplemente verifican que un el usuario está presente, sin ninguna indicación de quién es ese usuario.
Con WebAuthn en su lugar, la adopción generalizada de sin contraseña La autenticación será mucho más práctica. Ciertamente no somos va a ver el final de la contraseña de la noche a la mañana, pero este es el tipo de infraestructura que necesita estar en su lugar antes de que pueda Ser creíblemente reemplazado.