El dia d'avui el W3C (Organisme d'estàndards web) i l'Aliança FIDO (Que està treballant àrduament per a proporcionar una autenticació més simple i robusta per reemplaçar les contrasenyes) han anunciat que han finalitzat la norma WebAuthn per a connexions segures sense contrasenya.
WebAuthn és un context de seguretat impulsat pel robatori de contrasenyes i fuites de dades que, al maig de 2016, el grup de treball d'autenticació web (WebAuthn) de W3C i l'Aliança FIDO (Fast identity Online) tenen publicar un esborrany sobre l'especificació d'un estàndard d'autenticació per a diferents navegadors l'estàndard WebAuthn.
El seu propòsit és permetre que qualsevol lloc web o servei en línia utilitzi aplicacions, claus de seguretat o dades biomètriques com a inici de sessió en lloc de contrasenyes o utilitzi aquests enfocaments alternatius com un segon mètode de verificació.
Aquest estàndard està destinat a eliminar la necessitat d'ingressar contrasenyes quan els usuaris es connecten a Internet.
Doncs el principal objectiu és assegurar l'accés a les aplicacions web.
Ara és el moment que els serveis web i les empreses adoptin a WebAuthn per impedir la vulnerabilitat de les contrasenyes i millorar la seguretat de les experiències en línia dels usuaris del web », va dir Jeff Jaffe.
És amb aquestes paraules que el CEO de W3C va comentar sobre l'èxit d'un esforç per finalitzar les contrasenyes.
I doncs bé, el dia d'avui WebAuthn ara és un estàndard web oficial, que consideren un pas important per fer que el web sigui més segura i més utilitzable per usuaris de tot el món.
Ara estan demanant a les plataformes en línia que adoptin aquest nou estàndard.
«Els serveis i aplicacions web poden i haurien, habilitar aquesta funció perquè els seus usuaris puguin connectar-se més fàcilment a través de la biometria, dispositius mòbils o claus de seguretat FIDO, amb molta més seguretat que només paraules. contrasenya «, argumenten de manera conjunta el W3C i l'aliança FIDO.
FIDO2 i WebAuthn: una solució a el problema de la contrasenya
Per a la seva informació, FIDO2 reuneix l'especificació d'autenticació Web W3C i el Protocol de Autentificació de Client de FIDO Alliance (CTAP).
A través d'FIDO2 i WebAuthn, Les dues organitzacions creuen que la comunitat tecnològica global ha desenvolupat una solució comuna a el problema comú de les contrasenyes: Una solució ergonòmica contra el robatori de contrasenyes, el phishing i altres tipus d'atacs d'aquest tipus.
FIDO2 resoldria tots els problemes associats amb l'autenticació tradicional, com s'explica en el comunicat de premsa de l'W3C i l'aliança FIDO:
seguretat: les credencials d'inici de sessió criptogràfiques de FIDO2 són úniques en cada lloc web i no hi ha informació biomètrica o altra informació secreta, com les contrasenyes que surten de l'terminal de l'usuari o s'emmagatzemen en un servidor.
Aquest model de seguretat elimina qualsevol risc de phishing, totes les formes de robatori de contrasenyes i atacs de «reproducció».
Comoditat: els usuaris es connecten amb mètodes convenients, com a lectors d'empremtes digitals, càmeres, claus de seguretat FIDO o els seus dispositius mòbils.
confidencialitat: les claus de FIDO són úniques per a cada lloc web, no es poden utilitzar per al seguiment a través dels llocs.
escalabilitat: els llocs web poden habilitar FIDO2 amb una simple trucada a l'API en tots els navegadors i plataformes.
WebAuthn estalviés temps i ofereix seguretat
En un estudi de Seguretat de Verizon en 2017, l'Aliança W3C i FIDO expliquen que ara s'ha establert que les contrasenyes han perdut la seva eficàcia.
Les contrasenyes predeterminades, baixes o robades no només causen el 81% de les violacions de dades, sinó que també generen una pèrdua de temps i recursos.
També referint-se a un estudi recent de l'proveïdor de claus de seguretat Yubico, encara afirmen que els usuaris passen 10.9 hores per any ingressant o restablint contrasenyes, el que costa una mitjana de $ 5.2 de dòlars a l'any a empreses.
WebAuthn ja té suport
WebAuthn ja és compatible amb Windows 10 i Android, així com amb els navegadors web Google Chrome, Mozilla Firefox, Microsoft Edge i Apple Safari (en versió preliminar).
Això demostra que la seva adopció està en el camí correcte. L'Aliança FIDO també ha llançat un programa de certificació per a proveïdors llestos per implementar l'estàndard en els seus navegadors o plataformes. Això accelerarà el final de les contrasenyes.
font: www.w3.org