Apple, Google y Microsoft, apoyan la propuesta de la Alianza FIDO y de World Wide Web para eliminar las claves de acceso o contraseñas. 

La Alianza FIDO (Fast Identity Online) es una iniciativa, creada por algunas de las compañías tecnológicas líderes en el mundo, que tiene como propósito cambiar la forma de autenticación online para hacerla más segura y cómoda.

FIDO se creó en julio de 2012 para abordar la falta de interoperabilidad entre tecnologías de autenticación sólidas. También quería remediar los problemas que enfrentan los usuarios al crear y recordar múltiples nombres de usuario y contraseñas. “FIDO Alliance está cambiando la naturaleza de la autenticación con estándares para una autenticación más simple y sólida que define un conjunto de mecanismos abiertos, escalables e interoperables que reducen la dependencia de las contraseñas”.

Como bien sabemos todos los usuarios de servicios y recursos online, actualmente la autenticación digital por excelencia es mediante el uso de contraseñas. Este sistema tiene sus limitaciones: si las contraseñas son seguras, son complejas y largas y, en este caso, difíciles de recordar. Y si tenemos en cuenta que cada usuario tiene una media de 90 cuentas o accesos digitales online, su gestión no es sencilla.

Por ello, la Alianza FIDO creó unos estándares técnicos interoperables. Su objetivo de garantizar el inicio de sesiones seguras y rápidas, tanto en páginas web como en apps. Dichos estándares se basan en sistemas biométricos (reconocimiento facial o huella digital), junto con la autenticación de factor múltiple.

Estamos hablando de técnicas criptográficas de llave pública, una identificación más segura a la par que más cómoda.

Funcionamiento

Cuando nos registramos en un servicio online que emplea el estándar FIDO, esta tecnología genera una pareja de claves criptográficas. La clave privada se conserva en el hardware del dispositivo y la clave pública se guarda en el servicio en línea.

Para que la autenticación se lleve a cabo, el dispositivo del cliente demostrará al servicio online que tiene la clave privada, realizando una verificación matemática.

La clave privada del cliente únicamente estará activa si el usuario desbloquea de forma local en el dispositivo, mediante una acción segura y fácil como son la huella dactilar, la voz o un PIN. De este modo, los datos no salen del dispositivo, que sólo autoriza al sistema a validar la identificación, sin proporcionarle datos del usuario o de sus claves biométricas.

Además, las especificaciones de autenticación de FIDO están diseñadas para proteger la privacidad del usuario porque FIDO evita que la información de un cliente sea rastreada a través de los diferentes servicios en línea que utilizan. FIDO fue diseñado específicamente para mejorar la privacidad del usuario.

El resumen es que, con el estándar FIDO, se protege la privacidad del usuario y sus credenciales de acceso, logrando una mayor seguridad y una mejor experiencia de usuario.

Pero ¿cuándo podremos disfrutar de FIDO? Las grandes tecnológicas Apple, Google y Microsoft han asumido el compromiso de que FIDO esté disponible el año próximo en sus sistemas operativos y navegadores de internet.

Sobre las contraseñas

El 80% de las brechas de seguridad en el mundo tienen su origen en las contraseñas. A nivel global, más de la mitad de las contraseñas usadas son repetidas y, por ello, compartidas entre usuarios aunque no lo sepan.

Y si, además, usamos como contraseñas patrones ordenados de teclado (por ejemplo, el típico “qwert”), repetimos la misma contraseña para diversas cuentas, las apuntamos en papel o, entre otras, usamos como contraseña palabras que encontramos listadas en cualquier diccionario… Los hackers lo tienen fácil. Las contraseñas son el eslabón más débil de la cadena de autenticación.

Como resultado, los estándares FIDO son más resistentes a los ataques de ingeniería social como el phishing (enlaces maliciosos para robar sus nombres de usuario, contraseñas e información confidencial) o a los ataques Man-in-the-Middle (MITM), que pueden interceptar las comunicaciones entre el dispositivo de un cliente y el servidor de una institución financiera.

Ha llegado el fin de las contraseñas. Y como afirman algunos expertos, nos ahorramos preocupaciones: no se puede robar lo que no existe.