FIDO2 es un estándar de autenticación que permite a los usuarios acceder a servicios en línea de manera segura sin necesidad de usar contraseñas. Este estándar es promovido por la Alianza FIDO (Fast Identity Online) y la W3C (World Wide Web Consortium).
FIDO2 es una evolución y ampliación de los estándares FIDO y consta de dos componentes principales:
WebAuthn (Web Authentication API) es una especificación desarrollada en colaboración con el W3C que permite a las aplicaciones web utilizar autenticadores fuertes, como huellas digitales, reconocimiento facial o dispositivos USB, para autenticar a los usuarios. Esta especificación proporciona una API que los desarrolladores web pueden usar para integrar la autenticación FIDO2 en sus sitios y aplicaciones. Con WebAuthn, las aplicaciones web pueden ofrecer una autenticación más segura y conveniente, utilizando una variedad de métodos de autenticación fuertes, ya sean dispositivos físicos o métodos biométricos.
CTAP (Client to Authenticator Protocol) es el protocolo que permite la comunicación entre el cliente (como un navegador web) y el autenticador (como un dispositivo físico, por ejemplo, una llave de seguridad USB). Este protocolo define cómo los navegadores y otros clientes se comunican con los autenticadores FIDO. CTAP incluye dos versiones:
– CTAP1: Similar a FIDO U2F, permite la autenticación utilizando un segundo factor, generalmente un dispositivo físico.
– CTAP2: Amplía las capacidades de los autenticadores para soportar WebAuthn, permitiendo una autenticación más avanzada y sin necesidad de contraseñas.
CTAP es esencial para que los dispositivos de autenticación funcionen de manera eficiente con las aplicaciones web y otros servicios que implementan el estándar FIDO2.
¿Cómo funciona FIDO2?
Cuando un usuario se registra en un servicio compatible con FIDO2, el autenticador (dispositivo físico o biométrico) genera un par de claves: una clave pública y una clave privada. La clave pública se envía al servicio y se asocia con la cuenta del usuario.
Cuando el usuario intenta acceder al servicio, el autenticador usa la clave privada para firmar un desafío criptográfico proporcionado por el servicio. El servicio verifica la firma con la clave pública almacenada.
Ventajas principales de FIDO2
Seguridad: Los autenticadores FIDO2 generan claves criptográficas únicas para cada sitio, lo que elimina los riesgos asociados con las contraseñas robadas, reutilizadas o débiles.
Experiencia de usuario: Los usuarios pueden autenticarse de manera rápida y conveniente usando métodos biométricos o dispositivos físicos.
Privacidad: FIDO2 está diseñado para proteger la privacidad del usuario; los autenticadores no divulgan información que pueda ser usada para rastrear a los usuarios entre diferentes servicios.
Ejemplos de autenticadores FIDO2:
- Llaves de seguridad USB.
- Sensores biométricos integrados en dispositivos móviles y ordenadores.
- Autenticadores basados en software como Windows Hello.
Empresas grandes y servicios en línea adoptan a FIDO2 para mejorar la seguridad y simplificar el proceso de autenticación para los usuarios.