FIDO2: la web sin contraseñas está llegando

Recientemente, la FIDO Alliance (Fast Identity Online) anunció la disponibilidad de su protocolo FIDO2. ¿En qué consiste y cómo afecta al inicio de sesión contraseña tradicional, y por qué deben prestarle atención las instituciones financieras (IF)?
FIDO: cómo eliminar la contraseña tradicional
Mejorar la experiencia de usuario general y eliminar la fricción es clave para que las instituciones financieras implementen aplicaciones en línea y móviles. La experiencia de usuario tiene un impacto directo sobre la retención de clientes, el rendimiento de la inversión de los servicios en línea y los costos operativos. De hecho, algunos estudios han demostrado que los clientes con capacidad para interactuar fácilmente con su institución financiera en cualquier momento y lugar tiene una menor probabilidad de abandonarla.
Aunque una experiencia del cliente fluida es una de las principales prioridades de los líderes de banca y seguridad, no alcanza solo con ofrecer una experiencia de usuario óptima. Las IF además deben cumplir con diferentes regulaciones y pautas (por ejemplo, la PSD2, el GDPR y el NIST), mantener altos estándares de seguridad y no salirse de los presupuestos operativo y de desarrollo. Todo esto complejiza el desafío de ofrecer una experiencia sin fricciones.
A menudo, el primer obstáculo para la interacción con el cliente es la contraseña de inicio de sesión. No solo crear y administrar contraseñas es algo muy engorroso, sino que además la contraseña de inicio de sesión es muy vulnerable a filtraciones de datos.
La autenticación FIDO resuelve este problema al reemplazar la contraseña tradicional por opciones sólidas de autenticación, que van de la biometría a los tokens de software y hardware.
En esencia, la autenticación FIDO ofrece un ecosistema interoperable y estandarizado de autenticadores para usar con aplicaciones móviles y en línea. Permite que las organizaciones implementen una autenticación fuerte para el inicio de sesión y la validación de transacciones, sin el costo incremental del desarrollo interno.
FIDO2 y la web sin contraseñas
FIDO2 es una combinación de la API WebAuthn de W3C y del protocolo Client to Authenticator (CTAP) de FIDO. WebAuthn es una API de estándares mediante la cual los desarrolladores pueden integrar la autenticación FIDO en navegadores web. Con CTAP, los usuarios pueden iniciar sesión sin contraseña. Pueden usar un autenticador externo, como un teléfono móvil o un dispositivo de hardware, para comunicar sus credenciales de autenticación a una PC o un teléfono móvil a través de Bluetooth, NFC o USB. En otras palabras, gracias a FIDO2 es más fácil autenticarse en navegadores web mediante un autenticador FIDO de hardware, o el método de autenticación que esté disponible en la PC de un usuario.
Y además, el protocolo WebAuthn se está implementando en navegadores como Google, Mozilla y Firefox. Se espera que el navegador Safari de Apple pueda integrarse con WebAuthn cuando el estándar FIDO2 sea oficialmente aprobado por W3C como estándar internacional (tenga en cuenta que, aunque Apple no ha hecho declaraciones sobre FIDO, la empresa forma parte del grupo de trabajo de WebAuthn). Cuando W3C ratifique a FIDO2 como estándar internacional, la web sin contraseñas será una realidad.
Las IF que quieran aprovechar el protocolo WebAuthn pueden hacer compatibles con FIDO su infraestructura de banca en línea o móvil existente o implementar una solución FIDO integral que maneje solicitudes de autenticación de cualquier tipo de autenticador FIDO.
Lo bueno es que FIDO2 posee compatibilidad retroactiva con todo el hardware y el software que ya contaba con la certificación FIDO, y estas soluciones seguirán funcionando con los navegadores web compatibles con WebAuthn. La propia FIDO Alliance recomienda que las organizaciones que deseen habilitar FIDO para sus servicios en línea y móviles implementen un servidor universal, para garantizar la compatibilidad con todos los autenticadores certificados por FIDO, se trate de segundo factor (U2F), móvil (UAF) o FIDO2.
Autenticación FIDO de OneSpan
Como miembro de FIDO Alliance y participante activo en el grupo de trabajo de FIDO2, OneSpan forma parte de la iniciativa de FIDO para estandarizar la industria de la autenticación. Nuestra cartera de autenticación FIDO incluye una solución de servidor universal de FIDO compatible con soluciones U2F, UAF y FIDO2.
En la actualidad, las organizaciones necesitan flexibilidad en sus métodos de autenticación. Por ejemplo, muchas IF que han emitido tokens de autenticación de hardware a sus clientes también están introduciendo la autenticación móvil para sus clientes que prefieren usar dispositivos móviles. Por ese motivo, requieren opciones de hardware y software para una serie de necesidades de clientes y casos de uso. Para lograrlo, OneSpan ofrece lo siguiente:
- Funcionalidades FIDO completas como parte de OneSpan Mobile Security Suite. Esto significa que las organizaciones pueden implementar la autenticación sin contraseña para mejorar la experiencia del cliente mediante el reemplazo de las contraseñas estáticas por funcionalidades modernas como biometría, además de proteger sus aplicaciones móviles contra ataques de phishing, intermediarios y repetición.
- Un autenticador de hardware FIDO con funcionalidad Bluetooth permite que las IF combinen y vinculen fácilmente software y hardware para adaptarse a sus necesidades de autenticación.
Los métodos de autenticación certificados por FIDO tienen compatibilidad plena desde el momento de su llegada al mercado. Debido a la estandarización, todas las aplicaciones pueden funcionar con cualquier dispositivo y cualquier autenticador. Esto les brinda a las organizaciones una enorme cantidad de opciones sobre la forma en que quieren abordar la autenticación de clientes.
Visite nuestra página de autenticación FIDO para obtener más información sobre casos de uso de FIDO para inicio de sesión y validación de transacciones sin contraseña.