14 de febrero de 2020

Apple se integra a FIDO, consorcio que busca reinventar las contraseñas

Apple se integra a la FIDO Alliance, consorcio que tiene entre los principales fines la erradicación del uso de las clásicas contraseñas, en pos de un método de autenticación que sea más confiable y seguro. Compañías como Amazon, Facebook, Google, Intel, Microsoft, y Samsung ya formaban parte de esta instancia.

La noticia no ha sido dada a conocer oficialmente por Apple. Sin embargo, extraoficialmente se filtró la información mediante un tweet (posteriormente eliminado) de Roland Atoui, asesor de certificaciones de seguridad de la FIDO Alliance, el cual mostraba mediante una fotografía de una reunión del consorcio, en la que mediante una presentación anunciaban a su nuevo miembro. Tras conocerse esa información, la FIDO Alliance agregó a Apple a la lista de miembros que aparece en su sitio web.

apple fido

Imagen originalmente compartida por @roritto en Twitter

Uno de los objetivos de la FIDO Alliance es buscar un reemplazo para los inicios de sesión basados sólo en la dinámica usuario/contraseña, proponiendo experiencias de inicio de sesión rápidas y seguras en sitios web, mediante aplicaciones que utilizan el estándar emergente WebAuthn, propuesto de forma conjunta por el W3C y FIDO. La interfaz de programación de aplicaciones (API) de este estándar permite a los servidores registrar y autenticar a los usuarios utilizando criptografía de clave pública en lugar de una contraseña.

Hasta antes de unirse a esta instancia, Apple había coqueteado con este estándar en 2018, añadiéndole soporte experimental a su navegador Webkit para este sistema de inicio de sesión. Un año después, en diciembre de 2019, Apple agregó compatibilidad nativa para claves de seguridad compatibles con estándares FIDO, como YubiKey, utilizando el estándar WebAuthn sobre NFC, USB o Lightning en iOS 13.3.

A pesar de su reciente ingreso a esta alianza tecnológica, Apple seguía desde antes su propio camino en busca de la reinvención de las contraseñas como método de seguridad. La autenticación de dos factores, Touch ID y Face ID son algunas de sus iniciativas, no del todo exclusivas, pero siempre con su propio sello. No obstante, estas soluciones más que reemplazar a las clásicas contraseñas, sólo automatiza parte del proceso de logueo.

Una de las propuestas de la FIDO Alliance es que los dispositivos de confianza reemplacen a las contraseñas. De forma similar a lo que Apple hoy ofrece, pero sin limitarse a lo que sólo un fabricante ofrezca, la autorización para iniciar sesión se podría realizar mediante la autorización a través de un dispositivo personal y de confianza. Aunque parezca más vulnerable esta técnica, en realidad hace más difícil las cosas para un atacante, ya que requeriría de acceso físico y presencial a sus dispositivos de confianza.




☛ El artículo completo original de Nicolás Verdejo lo puedes ver aquí.

No hay comentarios:

Publicar un comentario