WebAuthn

De Wikipedia, la enciclopedia libre
Ir a la navegación Ir a la búsqueda

Web Authentication (WebAuthn) es un estándar web publicado por el Consorcio WWW (W3C).[1][2][3]​ WebAuthn es un componente fundamental del proyecto FIDO2 bajo la orientación de la Alianza FIDO.[4]​ El objetivo del proyecto es normalizar una interfaz para autenticar a los usuarios con aplicaciones y servicios basados en la web utilizando criptografía asimétrica.

Un autentificador de hardware criptográfico móvil con una interfaz USB

En el lado del cliente, el soporte para WebAuthn puede ser implementado de varias maneras. Las operaciones criptográficas subyacentes son realizadas por un autentificador,[5]​ que es un modelo funcional abstracto mayormente agnóstico con respecto a la forma en que se gestiona el material clave. Esto hace posible implementar el soporte para WebAuthn puramente en software, haciendo uso de un entorno de ejecución de confianza (trusted execution environment) de un procesador o de un módulo de plataforma de confianza (Trusted Platform Module). Las operaciones criptográficas sensibles también pueden ser transferidas a un autentificador de hardware móvil que a su vez puede ser accedido a través de USB, Bluetooth de baja energía, o Near field communication (NFC). Un autentificador de hardware móvil se ajusta al Client to Authenticator Protocol (CTAP) de FIDO,[6]​ haciendo que WebAuthn sea efectivamente compatible con el estándar Universal 2nd Factor (U2F) de FIDO.

Al igual que U2F heredado, la autenticación web es resistente a la suplantación de identidad del verificador, es decir, es resistente a los ataques activos de intermediarios,[7]​ pero a diferencia de U2F, WebAuthn no requiere una contraseña tradicional. Además, un autentificador de hardware móvil es resistente a programas maliciosos, ya que el material de la clave privada no es accesible en ningún momento para el software que se ejecuta en la máquina anfitriona.

El estándar WebAuthn Level 1 se publicó como Recomendación W3C el 4 de marzo de 2019.[1][8]​ Se está desarrollando un estándar Level 2.[9]

Referencias[editar]

  1. a b «Web Authentication: An API for accessing Public Key Credentials Level 1». www.w3.org. Consultado el 14 de mayo de 2020. 
  2. Seltzer, Wendy. «Web Authentication Working Group» (en inglés estadounidense). Consultado el 14 de mayo de 2020. 
  3. «Escucha el Episodio What is WebAuthn de TechStuff - en iHeartRadio». iHeartRadio. Consultado el 14 de mayo de 2020. 
  4. «FIDO2: Moving the World Beyond Passwords using WebAuthn & CTAP». FIDO Alliance (en inglés). Consultado el 14 de mayo de 2020. 
  5. «Introduction to FIDO (Fast IDentity Online)». Ubisecure Customer Identity Management (en inglés estadounidense). 20 de febrero de 2019. Consultado el 14 de mayo de 2020. 
  6. «Client to Authenticator Protocol (CTAP)». fidoalliance.org. Consultado el 14 de mayo de 2020. 
  7. «Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise». PCMAG (en inglés). Consultado el 14 de mayo de 2020. 
  8. «W3C and FIDO Alliance Finalize Web Standard for Secure, Passwordless Logins». www.w3.org. Consultado el 14 de mayo de 2020. 
  9. «Web Authentication: An API for accessing Public Key Credentials - Level 2». www.w3.org. Consultado el 14 de mayo de 2020. 

Enlaces externos[editar]