FIDO2 se ha convertido en una piedra de toque destacada en las conversaciones de seguridad, principalmente aquellas relacionadas con la autenticación Zero Trust. El aumento significativo de los ataques de autenticación en los últimos años a pesar de que muchas de las empresas violadas tienen autenticación multifactor (MFA), deja en claro que los métodos tradicionales de MFA que no son FIDO han fallado . La Oficina de Administración y Presupuesto (OMB) respalda FIDO y la Agencia de Seguridad de Infraestructura y Cibernética (CISA) lo describe como el “estándar de oro” de MFA resistente al phishing.
La autenticación FIDO2 amplía los protocolos FIDO originales, lo que permite a los usuarios autenticarse a través de una interfaz estandarizada basada en criptografía de clave pública. Google, Microsoft y Apple con su Passkey han anunciado su intención de “ matar la contraseña ” a través del soporte ampliado para la autenticación FIDO2.
¿Qué es FIDO?
La Alianza FIDO (Fast IDentity Online) es una asociación industrial abierta comprometida con la eliminación de contraseñas de toda autenticación. Algunos de los nombres tecnológicos más importantes (incluidas las tres empresas mencionadas anteriormente, Samsung, Meta e Intel) son miembros de la alianza. A ellos se unen organismos reguladores como el Instituto Nacional de Estándares y Tecnología (NIST), empresas de ciberseguridad y firmas financieras como PayPal, Visa, Mastercard y Bank of America.
La autenticación basada en FIDO aborda las vulnerabilidades principales en la autenticación basada en contraseña (y las metodologías MFA inseguras como SMS, OTPS y notificaciones automáticas) mediante el uso de criptografía de clave pública para autenticación y certificación. También utiliza múltiples tecnologías modernas para probar los factores de autenticación como el escaneo de huellas dactilares, el reconocimiento facial y el reconocimiento de voz junto con soluciones establecidas como Embedded Secure Elements, autenticación con tarjeta inteligente y comunicación de campo cercano (NFC).
Las especificaciones de autenticación de FIDO crean un conjunto interoperable de protocolos que se pueden implementar en múltiples dispositivos y plataformas.
¿Qué es la autenticación FIDO2?
La autenticación FIDO2 es en realidad la tercera versión de los estándares FIDO y se basa en:
- FIDO Universal Second Factor (FIDO U2F) : una especificación orientada a mejorar la seguridad en torno a los sistemas basados en contraseñas al incluir sólidas capacidades de segundo factor.
- Marco de autenticación universal de FIDO (FIDO UAF): un conjunto de protocolos abiertos que permite que los servicios en línea usen seguridad sin contraseña a través de dispositivos móviles para fortalecer los procesos de IAM.
Los estándares de autenticación FIDO2 constan de dos elementos centrales:
- La API WebAuthn : el estándar de autenticación web W3C incorporado en navegadores como Chrome, Firefox y Edge.
- Protocolo de cliente a autenticador (CTAP) de FIDO : proporciona una interfaz que puede integrar autenticadores externos a través de USB, Bluetooth o NFC en dispositivos compatibles con FIDO2.
Este enfoque crea varios beneficios que incluyen:
- Eliminación de contraseñas de autenticación
- Cumplimiento de normativas como NIST 800-63B y PSD2
- Fácil de usar ya que los usuarios pueden aprovechar los mecanismos que ya están en su dispositivo inteligente
- El estándar abierto garantiza la interoperabilidad y evita el bloqueo de proveedores
- Escalable ya que no requiere el envío de nuevos equipos al personal
Con sus muchos beneficios junto con la aceptación de algunas de las compañías más grandes del mundo, la autenticación FIDO2 brinda la respuesta a muchas de las vulnerabilidades de seguridad de autenticación del mundo.
¿Cómo funciona la autenticación FIDO2?
La autenticación FIDO2 usa criptografía asimétrica similar al protocolo de enlace de clave pública-privada que se usa en los protocolos TLS para autenticar sitios web con un navegador web. Sin embargo en el caso de la autenticación FIDO2 cuando se le pide que demuestre su identidad el usuario desbloquea la clave privada que coincide con la clave pública registrada y demuestra que el usuario es quien dice ser.
Un flujo de autenticación típico se verá así:
- El dispositivo habilitado para FIDO está registrado con el sistema de autenticación. Esto sucede durante la fase de configuración para un nuevo usuario y se realiza un emparejamiento de clave pública y privada.
- La clave pública se comparte con el sistema de autenticación y la clave privada se mantiene en el dispositivo del usuario, donde está protegida por una caja de claves lógica o un módulo de seguridad de hardware.
- Un proceso de autenticación desafiará al usuario a probar la posesión de la clave privada.
- Una acción local segura en el dispositivo del usuario, como proporcionar un escaneo facial o una huella digital o usar una clave de seguridad, desbloqueará la clave privada.
- La clave privada se usa para firmar el desafío, demostrando la posesión del usuario, y si coincide con la clave pública que tiene el sistema de autenticación, el usuario inicia sesión.
Este sistema puede satisfacer los requisitos de MFA en una sola acción ya que utiliza simultáneamente diferentes factores de autenticación (es decir, posesión e inherencia) con contraseñas eliminadas por completo del proceso. Para el usuario el proceso de inicio de sesión puede ser tan simple como mirar su teléfono inteligente sin recordar ni proporcionar ninguna información adicional.
¿Cuáles son las diferencias entre FIDO2 y WebAuthn?
Si bien a menudo se usan juntos o incluso de manera intercambiable, existen diferencias significativas entre la autenticación WebAuthn y FIDO2. La autenticación web (WebAuthn) fue desarrollada por el World Wide Web Consortium (W3C) el principal organismo internacional de estándares para la web en conjunto con FIDO Alliance. Es una interfaz estandarizada para la autenticación segura de usuarios para aplicaciones web que utilizan criptografía de clave pública.
La autenticación FIDO2 es un enfoque más amplio que incorpora WebAuthn e incluye el estándar FIDO CTAP. Esta integración significa que los procesos de autenticación criptográfica de WebAuthn se pueden expandir a más casos de uso, incluidos dispositivos, medios físicos o claves de seguridad.
Certificación FIDO2
FIDO Alliance ejecuta un programa de certificación que es fundamental para mantener un ecosistema interoperable de productos y servicios que implementan la autenticación FIDO. La certificación FIDO2 garantiza la conformidad del producto y la interoperabilidad de todas las implementaciones de autenticación FIDO2 entre clientes, servidores y dispositivos de autenticación. Los productos certificados por FIDO2 se someten a pruebas rigurosas para validar que las credenciales de los usuarios estén descentralizadas aisladas y cifradas en los dispositivos personales de los usuarios.
Un servidor certificado por FIDO2 ha pasado por un programa de certificación FIDO completo y cumple con éxito todos los requisitos para trabajar con cualquier dispositivo de autenticación certificado por FIDO2. Asimismo, un autenticador certificado por FIDO2 puede funcionar con todas las soluciones que mantienen un servidor FIDO2. Muchas soluciones están certificadas para un solo componente, pero pocas están certificadas para todos los componentes.
FIDO2 y claves de paso de Apple
Las claves de acceso de Apple usan Touch ID o Face ID para la verificación biométrica y el llavero de iCloud para sincronizar entre iPhone, iPad, Mac y Apple TV. Las claves de acceso se basan en FIDO2 WebAuthn lo que proporciona un inicio de sesión resistente al phishing en sitios web y aplicaciones desde dispositivos habilitados para iOS 16. Sin embargo, el acceso con clave de acceso a las aplicaciones en una computadora de escritorio o portátil requiere la ejecución de macOS Ventura que no está implementado en la mayoría de las empresas. Las claves de acceso de Apple y otras opciones sin contraseña dirigidas al consumidor conllevan otros desafíos para la implementación empresarial, por ejemplo, no cumple con el requisito de posesión de los requisitos de SCA y otros estándares de cumplimiento y está limitado a dispositivos Apple. Los CISO también deben considerar la viabilidad de la implementación y el soporte multiplataforma que se aplica tanto a aquellos que usan PC que no son de Apple como a aquellos cuyo teléfono preferido es Android.
Fuerte autenticación certificada por FIDO2
Desafortunadamente, a pesar de la existencia del programa de certificación FIDO y las buenas intenciones de la Alianza FIDO, una solución de autenticación “Certificada por FIDO” podría no ser lo que dice ser. A menudo, solo admiten los estándares de autenticación FIDO2 o tienen un solo componente certificado, como el servidor. Esto significa que sus procesos de autenticación pueden ser menos seguros y no cumplir con los estándares FIDO.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
