FIDO2: qué es y cómo funciona para autenticarte en la red

Para poder conectarnos a cualquier plataforma es necesario contar con una buena contraseña que nos proteja de intrusos. Pero las claves de acceso por sí mismas no van a evitar algunos métodos de ataques que puedan robarlas, como el Phishing o la fuerza bruta. Para evitar que alguien pueda entrar en un servicio online si averigua la contraseña, la autenticación en dos pasos es una buena opción. Pero también han surgido diferentes estándares de autenticación. En este artículo vamos a hablar de qué es FIDO2 y por qué es tan interesante.

En qué consiste FIDO2

Lo habitual es tener un nombre de usuario y poner una clave. Por ejemplo para entrar en redes sociales como Facebook, acceder al correo o iniciar un dispositivo. Lo que permite el estándar FIDO2 es poder dejar a un lado este método tradicional, pero sin poner en riesgo la seguridad. Se basa en la autenticación en dos factores y utiliza claves de seguridad.

El nombre de FIDO viene de Fast Identity Online y está formada por una alianza de algunas de las plataformas más conocidas a nivel mundial: Google, Amazon, Facebook o Mozilla, entre otros. Además, forman parte también el estándar WebAuthn y el protocolo CTAP. Se basa en el estándar anterior U2F y UAF, ambos realizados por FIDO.

Ahora bien, ¿cómo funciona exactamente? Su objetivo es permitir que nos autentiquemos en Internet, por ejemplo al usar una aplicación o entrar en un sitio web, sin tener que poner contraseña. Para ello podemos usar una pequeña llave de seguridad que se conecta por USB y conexión NFC. Pero también puedes utilizar el teléfono móvil para autenticarte.

Básicamente va a permitir que utilices tu móvil, por ejemplo, para autenticarte en Internet y realizar transacciones, iniciar sesión, etc. En vez de tener que poner una contraseña, te identificas por este medio. Para ello puedes usar la huella dactilar en el teléfono, por ejemplo. El principal cambio de FIDO2 fue que esta autenticación también se puede habilitar en entornos web.

Cómo funciona

Lo primero necesario es crear un registro en una plataforma o aplicación compatible con FIDO2. Por ejemplo el programa para entrar en el banco o en Facebook. Esto va a generar un par de claves: una privada y otra pública FIDO2. La primera va a quedar guardada en el dispositivo y la segunda, la pública, va a quedar almacenada en la base de datos de ese servicio al que nos registramos. La privada solo estará disponible en el lado del cliente.

La primera vez que entres en esa aplicación, tendrás que poner las credenciales tradicionales. Es decir, tendrás que poner tu usuario y la contraseña que hayas creado. Con esa clave siempre vas a poder entrar. Pero una vez entres, el programa te dará la opción de habilitar el acceso a través de datos biométricos. Es en ese punto en el que se intercambian las claves criptográficas.

A partir de ahí, una vez has configurado la opción de acceder con datos biométricos, ya podrás iniciar sesión simplemente con poner la huella o el reconocimiento facial. Entras en el navegador o aplicación y automáticamente saldrá el proceso para poner la huella y se intercambiarán los datos criptográficos para autenticar al usuario basándose en FIDO2.

Lógicamente, en caso de que vayas a entrar en esa aplicación desde otro dispositivo tendrás que poner la contraseña tradicional o configurar otro método de autenticación allí. Lo mismo ocurriría si ese móvil lo reseteas a los valores de fábrica o desinstalas el programa y lo vuelves a instalar, ya que tendrías que configurarlo nuevamente con estos mismos pasos.

Dónde se utiliza

Posiblemente utilices FIDO2 en tu día a día o al menos lo has usado alguna vez. Cada vez que usas el teléfono móvil para entrar en una red social o cuenta bancaria y pones tu huella, se basa en este protocolo. También al usar el reconocimiento facial o si tienes un token externo. Se basa en datos biométricos que se almacenan en el móvil, ordenador o cualquier dispositivo compatible. Cuando registras tu huella dactilar, eso queda almacenado en el sistema para usarlo posteriormente.

También se utiliza para realizar pagos online, compras o recargar tarjetas virtuales. En estos casos también tendrás que autenticarte, para que el proceso se lleve a cabo, y podrás hacerlo con estos métodos sin tener que poner una contraseña tradicional.

Esto es útil ya que no hace falta poner la contraseña cada vez que entremos en plataformas online. La autenticación se realiza a nivel local, con la información almacenada, y también con ese segundo factor de autenticación, que sería la huella dactilar o reconocimiento facial, por ejemplo. Es un proceso seguro y que está presente cada vez en más servicios.

Hay que tener en cuenta que no está disponible en todo tipo de aplicaciones, pero sí que está aumentando su uso. Seguro que lo puedes ver en el programa de tu banco, en alguna red social que utilices y similares.

Qué ventajas tiene

Puede que te preguntes qué ventajas tiene este tipo de autenticación frente a las contraseñas tradicionales. Lo cierto es que hay varios puntos interesantes que hacen que el protocolo FIDO2 sea muy útil hoy en día, pero que lo será más conforme más servicios se unen y admiten esta funcionalidad para autenticarse.

La primera ventaja clara es la comodidad y rapidez. Piensa en tener que poner la contraseña cada vez que accedes a Facebook, la cuenta bancaria o cualquier aplicación de este tipo. Vas a perder tiempo y además vas a tener que recordar cuál es la clave de acceso. En cambio, gracias a FIDO2 simplemente tienes que poner la huella o el reconocimiento facial, además de poder usar una llave de seguridad, y así iniciar sesión rápidamente.

Otro punto positivo es la seguridad. Por un lado vamos a evitar tener que exponer tanto las contraseñas al no tener que iniciar sesión constantemente con ellas. Esto va a hacer que haya menos riesgo de sufrir un ataque Phishing o ser víctima de un keylogger que pueda registrar las claves de acceso. Gracias a este protocolo, esas claves solo se van a desbloquear en ese dispositivo concreto.

Aunque con relación con las dos ventajas anteriores, una tercera sería el poder utilizar una misma autenticación para muchas aplicaciones. Es decir, por ejemplo podrías tener cinco cuentas bancarias y cada una de ellas tener una contraseña diferente (lo cual sería lo correcto). Tendrías que poner cada una de esas claves para entrar. En cambio, gracias a este protocolo basta con poner la huella dactilar o usar el reconocimiento facial y podrás entrar en todas ellas de la misma forma.

Conclusiones

Como has podido ver, FIDO2 es un protocolo de autenticación que sirve para dejar a un lado las contraseñas tradicionales y poder autenticarnos en aplicaciones web con total seguridad, comodidad y rapidez. Sirve para autenticarnos en un dispositivo simplemente utilizando la huella dactilar o el reconocimiento facial, entre otros.

Aunque ya se utiliza bastante, con total seguridad en unos años se extenderá aún más su uso. Tendremos más aplicaciones compatibles y por tanto podremos utilizar más las diferentes alternativas a las contraseñas tradicionales que podemos usar en dispositivos móviles o en el ordenador para entrar en las cuentas online.

El artículo FIDO2: qué es y cómo funciona para autenticarte en la red se publicó en RedesZone.