¿Qué es FIDO Autenticación?

Nick Smith | | 4 minutos de lectura
Autenticación e-ID FIDO

FIDO, que significa Fast IDentity Online (identidad rápida en línea), es un conjunto de estándares de autenticación orientados a reforzar el proceso de inicio de sesión del usuario en los servicios en línea. Los estándares son desarrollados por FIDO Alliance y promueven procesos de autenticación más rápidos y más seguros con el objetivo general de eliminar por completo los inicios de sesión basados en contraseñas.

¿Qué es FIDO? Autenticación segura de doble y múltiples factores para proteger la identidad de los usuarios en línea

El primer conjunto de estándares FIDO se dio a conocer en 2014, cuando los integrantes de FIDO Alliance incluían a Google, PayPal, NXP e Infineon. Recientemente, ha crecido hasta incluir a Apple, Amazon, ARM, Intel, MasterCard, Microsoft, Samsung y Visa, por nombrar solo algunos.

En esta publicación

¿Cómo funciona la Autenticación mediante FIDO?

FIDO utiliza la criptografía de clave pública para respaldar su seguridad. Cuando un usuario se registra en un servicio en línea, como un sitio web o una aplicación web, el dispositivo FIDO del usuario genera un nuevo par de claves. La clave pública se comparte con el servicio en línea mientras que la clave privada se mantiene segura en el dispositivo y nunca se revela. En los inicios de sesión posteriores, el servicio en línea genera una comprobación que el dispositivo FIDO firma internamente utilizando la clave privada. La firma se devuelve al servicio en línea donde se la puede verificar utilizando la clave pública almacenada.

Fundamentalmente, el dispositivo solo realizará la operación de firma después de que el usuario haya confirmado su presencia. Esto se puede lograr mediante uno de varios métodos, entre ellos presionar un botón en el dispositivo o escanear su huella dactilar (en el caso de una clave biométrica). Este requisito es para evitar que el malware use una clave FIDO adjunta sin el conocimiento del usuario. Al exigir al usuario que realice una acción, este afirma que está presente y quiere que se proceda con la autenticación. A esto se lo denomina " user presence detection " (detección de la presencia del usuario).

FIDO 1.0 (U2F y UAF)

En la primera generación de especificaciones de FIDO se describían dos protocolos, a saber, universal de segundo factor (Universal 2nd Factor, U2F) y Marco de Autenticación Universal (Universal Authentication Framework, UAF).

FIDO U2F

FIDO U2F describe la "experiencia de doble factor". Aquí es donde el usuario posee un dispositivo independiente compatible con FIDO, como una llave de seguridad USB que debe usar para iniciar sesión además de su contraseña. Este método complementario de autenticación reduce los ataques de phishing al requerir que el usuario presente algo que tiene, la clave de seguridad FIDO, además de algo que conoce como su contraseña. Esto es la autenticación de doble factor (2FA) que depende de un dispositivo de hardware específico por separado.

U2F definió el protocolo del lado del cliente que se utiliza para comunicarse con la clave de seguridad de FIDO llamado Protocolo de cliente a autenticador (Client to Authenticator Protocol, CTAP). Este protocolo fue diseñado para operar sobre USB, transmisión de datos en proximidad (near-field communication, NFC) o Bluetooth.

FIDO UAF

FIDO UAF, por otro lado, se diseñó para proporcionar una experiencia sin contraseña. En UAF, el usuario registra su dispositivo habilitado para UAF (por ejemplo, su teléfono inteligente) con un servicio en línea y selecciona un método de autenticación local compatible con ese dispositivo, principalmente un método biométrico como la huella dactilar o el reconocimiento facial. El usuario puede entonces acceder al servicio en línea desde ese dispositivo en el futuro, autenticarse localmente utilizando ese dispositivo y sin la necesidad de introducir una contraseña.

FIDO2 (WebAuthn y CTAP2)

Mientras que FIDO 1.0 consistía básicamente en dos protocolos separados, FIDO 2.0 (o simplemente, FIDO2) es un esfuerzo para combinar las características de U2F y UAF y conseguir una autenticación fuerte en lo estándar. Lo está haciendo a través de la estandarización global por parte del World Wide Web Consortium (W3C) y la integración en navegadores web compatibles, incluidos Chrome, Firefox y Microsoft Edge.

FIDO2 consta de dos partes:

  • Una API de Javascript que está siendo estandarizada por el W3C llamada Web Authentication , o WebAuthn . Esta API se implementa en navegadores web compatibles con W3C para permitir que las aplicaciones web hagan uso directo de los autenticadores FIDO.
  • CTAP2: una versión ampliada del Protocolo de cliente a autenticador.

Al facilitar la autenticación de FIDO para los usuarios a través de una integración simple y limpia en los servicios en línea, FIDO2 tiene como objetivo hacer que la autenticación fuerte sea ubicua y, finalmente, eliminar por completo el inicio de sesión tradicional basado en contraseñas.