La W3C ha presentado un nuevo estándar de credenciales que las páginas web y los navegadores podrán implementar para conseguir inicios sin contraseña.
Las contraseñas son un método obsoleto para proteger nuestra privacidad. Debido a la enorme cantidad de servicios que usamos, los usuarios tendemos a usar contraseñas simples y repetirlas en varios sitios; y esto merma gravemente su efectividad, y en algunos casos es como si no usásemos nada para protegernos.
WebAuthn, el nuevo estándar de autenticación web
Por eso se está trabajando en otros métodos para iniciar sesión de manera segura. Y gracias a un nuevo estándar de autenticación web presentado por la W3C, pronto puede ser posible.
Se llama WebAuthn, y es un nuevo sistema con soporte para sistemas alternativos de autenticación, como la biometría o los token de seguridad USB.
Si nuestro dispositivo tiene un lector de huellas, como nuestro smartphone, podemos usarlo para identificarnos en una web sólo con nuestro dedo; la API implementada por el navegador se asegura de que esta información se transmite y se comprueba de manera segura, identificando al usuario.
El estándar contempla el uso de todo tipo de tecnologías. Como por ejemplo, cámaras que nos puedan identificar, al estilo de lo que Microsoft ya hace con Windows Hello o Apple con FaceID. También podríamos usar “tokens” USB, memorias USB que almacenan certificados cifrados que atestiguan nuestra identidad.
WebAuthn ha sido desarrollado en colaboración con la FIDO Alliance, un consorcio de empresas entre las que está PayPal, Google, Microsoft, Intel o Qualcomm; son empresas que ya han adoptado tecnologías parecidas, como Google, que permite usar un token USB en Chrome.
Cómo se consigue la identificación sin contraseña
Si un navegador es compatible con WebAuthn, será capaz de usar este tipo de tecnologías en cualquier sistema. Y antes de que pienses que podría usarse para robarnos la identidad, deberías saber que este estándar está basado en lo que se conoce como “protocolo de conocimiento cero”.
Eso significa que podemos probar nuestra identidad sin necesidad de revelarla a los servicios; en vez de guardar una cadena de caracteres que garantice el acceso, esta metodología se basa en verificar una declaración enviada por el cliente; y a su vez, el cliente puede saber si el verificador es falso dependiendo de cómo responda.
Ahora que el estándar ha sido publicado, es cuestión de que más páginas y navegadores lo soporten.
Por el momento Firefox es el único navegador que ya es compatible con WebAuthn, en la última versión del navegador disponible. Pero Google y Microsoft ya han prometido que Chrome y Edge también serán compatibles. La que se echa en falta es a Apple, que por el momento no ha dado señales de dar soporte en Safari.
Si la industria se pone de acuerdo en seguir los estándares de la W3C, puede que el futuro sin contraseñas y en el que podamos identificarnos de manera segura esté muy cerca.