Llegamos a ustedes gracias a:



Noticias

Apple se une a la FIDO Alliance

[21/02/2020] En un movimiento algo inusual para Apple, la compañía se ha unido a la Fast IDentity Online (FIDO) Alliance, un grupo de estándares de autenticación dedicado a reemplazar las contraseñas por otro método más rápido y seguro para acceder a los servicios y aplicaciones en línea.

Apple es uno de los últimos peces gordos de la tecnología que se ha unido a FIDO, entre cuyos miembros se encuentran ahora Amazon, Facebook, Google, Intel, Microsoft, RSA, Samsung, Qualcomm y VMware. El grupo también cuenta con más de una docena de empresas de servicios financieros como American Express, ING, Mastercard, PayPal, Visa y Wells Fargo.

"Apple no suele ser muy directo al unirse a nuevas organizaciones, y a menudo espera a ver si ganan la suficiente tracción antes de unirse. Esto es bastante atípico para ellos", señaló Jack Gold, presidente y analista principal de J. Gold Associates. "Apple trata a menudo de presentar sus propias propuestas de estándares de la industria para su amplia adopción, pero generalmente no es una de las primeras en adoptar los verdaderos estándares de la industria de múltiples proveedores.

"FIDO tiene ahora suficiente impulso, y asumo que Apple está sintiendo la presión de unirse", dijo. "Especialmente en un mundo basado en la nube, FIDO es una iniciativa clave para la autenticación que las empresas realmente no pueden ignorar".

David Mahdi, director senior de investigación para la seguridad y la privacidad en Gartner, anotó que el movimiento de Apple es notable.

"Es un paso significativo en la realización de un mundo sin contraseñas", señaló Mahdi. "La incorporación de Apple es un paso significativo".

Formado en el 2012, el propósito de FIDO es impulsar la autenticación de dos factores para servicios y aplicaciones porque las contraseñas son innatamente inseguras. Las investigaciones respaldan la afirmación del grupo, ya que el 81% de todas las violaciones de seguridad de los hackers pueden ser rastreadas hasta las contraseñas robadas o de mala calidad, según el Informe de Investigaciones de Violación de Datos de Verizon.

"Si se basa en el nombre de usuario/dirección de correo electrónico y la contraseña, está tirando los dados en lo que respecta a la reutilización de contraseñas de otras brechas o malware en los dispositivos de tus clientes", señaló Verizon en su informe.

Junto con el W3C, FIDO escribió y está utilizando la emergente API de autenticación web (más conocida como WebAuthn). La especificación de WebAuthn ya es soportada -en diferentes grados- por los principales navegadores como Chrome de Google, Firefox de Mozilla y Edge de Microsoft. Esos navegadores también soportan la creación de credenciales en la nube mediante un token U2F, que puede utilizar Bluetooth, NFC o USB para proporcionar una autenticación de dos factores a los servicios y aplicaciones en línea.

En el 2018, Apple anunció que agregaría soporte "experimental" para el protocolo WebAuthn en Safari. En diciembre, Apple añadió soporte nativo para claves de seguridad compatibles con FIDO, como las de Yubico y Feitian, que utilizan el estándar WebAuthn sobre comunicación de campo cercano (NFC), USB o Lightning en iOS 13.3.

"FIDO es como el Bluetooth para la autenticación, lo que significa que tenemos una serie de dispositivos con características y funciones que se pueden utilizar para proporcionar la autenticación", indicó Mahdi.

Por ejemplo, agregó Mahdi, los dispositivos móviles o las computadoras portátiles pueden utilizar lectores de huellas dactilares o tecnología de reconocimiento facial para permitir el inicio de sesión. Se puede aprovechar cualquiera de las dos tecnologías para la autenticación, pero sin un lenguaje común, es difícil de hacer y requiere controladores y programas informáticos patentados.

"Por ello, era mucho más complejo habilitar de manera fiable una autenticación fuerte", señaló Mahdi. "FIDO, al igual que Bluetooth, permite a los desarrolladores de aplicaciones y a los líderes en seguridad que desean habilitar una autenticación fuerte (por ejemplo, en una aplicación móvil o en un sitio web) cubrir una amplia gama de métodos de autenticación que están disponibles en dispositivos con un código mínimo [y sin tener que preocuparse por muchos controladores de propiedad]".

En general, la especificación de la FIDO significa que los servicios digitales de los bancos, los sitios de comercio electrónico y otros, pueden reconocer a los usuarios a través de sus dispositivos, en lugar de con nombres de usuario y contraseñas. Por ejemplo, los usuarios podrían inscribirse en un servicio en línea, crear un nombre de usuario, registrar sus dispositivos y seleccionar un método de autenticación preferido (es decir, el dedo, o la cara, y/o el número de identificación personal (PIN)). No se necesitaría ninguna contraseña, anotó Mahdi.

Cómo funciona la especificación de FIDO

La especificación de la FIDO funciona permitiendo a cualquier persona que la utilice acceder a una aplicación o servicio en línea con un par de claves privadas y públicas.

Cuando un usuario se registra en un servicio en línea, como PayPal, el dispositivo de autenticación (un servidor) crea un par único de claves privadas y públicas. La clave privada se almacena en el dispositivo del usuario, mientras que la clave pública se asocia a ese dispositivo a través del servicio o aplicación en línea.

La autenticación se realiza mediante el servidor cliente que envía un desafío electrónico al dispositivo del usuario. Las claves privadas del cliente solo pueden utilizarse después de que el usuario las desbloquee localmente en el dispositivo. El desbloqueo local se realiza mediante una acción segura, como un lector biométrico (es decir, un escáner de huellas dactilares o un reconocimiento facial), la introducción de un PIN, el hablar en un micrófono o la inserción de un dispositivo de segundo factor.

La U2F es una norma de autenticación abierta que permite a los usuarios de Internet acceder de forma segura con una clave de seguridad al instante y sin necesidad de controladores o software cliente, según el miembro de la FIDO y proveedor de autenticación Yubico. FIDO2 es la última generación del protocolo U2F.

El pasado mes de abril, Google se unió a la Alianza como parte de su creación de nuevas herramientas de gestión de identidades en línea. Google añadió la autenticación de dos factores a través de la especificación de FIDO para los dispositivos Android 7 y superiores.

Jamf, proveedor de software de gestión de autenticación empresarial multifactorial para la plataforma Mac, se unió a FIDO el mes pasado.

"Como estábamos dando soporte a muchos de estos dispositivos multifactoriales y a diferentes proveedores de identidades, se complicó bastante rápido", indicó Joel Rennich, director de Jamf Connect, un producto de autenticación y gestión de identidades de Apple Mac. "Y todavía teníamos el problema de que necesitábamos volver a tener una contraseña. En la Mac, no hay una forma incorporada de respaldar las credenciales de usuario sin escribir una contraseña. Sin embargo, Apple tiene una instalación de tarjeta inteligente bastante robusta".

Rennich dijo que Jamf está adoptando el protocolo de autenticación de la FIDO porque es "increíblemente" seguro y permite mucha flexibilidad gracias al amplio apoyo de la industria. En particular, debido al uso por parte de FIDO de la criptografía de curva elíptica de alta seguridad -la misma que utiliza Apple Secure Enclave- Jamf puede ahora aprovechar la tecnología para crear un acceso de clase empresarial al iPhone, por ejemplo.

"Así, podemos usar ese hardware que ya está en el dispositivo para trabajar con los protocolos de FIDO con un mínimo de esfuerzo. ...Eso hizo que el desarrollo fuera realmente rápido", indicó Rennich.

Aunque todavía no se ha enviado, Jamf también ha creado una tarjeta inteligente virtual que permite a los usuarios acceder a los dispositivos Mac desde la nube utilizando claves de emparejamiento de criptografía de curva elíptica de la misma manera que lo hace la especificación de FIDO.

"No estamos aquí para hablar en nombre de Apple..., pero ciertamente se puede ver que están haciendo mucho más trabajo en este entorno. Creo que es una base sólida. Es un gran estándar", señaló Rennich. "Esperamos que Apple haga más con él. Pero mientras tanto, esperamos ser capaces de traer un autentificador de FIDO a la Mac".

Lucas Mearian, Computerworld (EE.UU.)