¿Qué es FIDO?

La alianza FIDO

Fast Identity Online (FIDO) Alliance es un consorcio de empresas líderes en tecnología, agencias gubernamentales, proveedores de servicios, instituciones financieras, procesadores de pagos y otras industrias que se lanzó en 2013 con el objetivo de eliminar el uso de contraseñas en sitios web, aplicaciones y dispositivos.

¿Quién es parte de la Alianza FIDO?

La Alianza FIDO tiene más de 250 miembros, incluidos líderes tecnológicos globales en empresas, pagos, telecomunicaciones, gobierno y atención médica. Empresas líderes como Microsoft, Google, Apple, Amazon, Facebook, Mastercard, American Express, VISA, PayPal y OneSpan tienen una membresía a nivel de junta.

¿Qué es la autenticación FIDO?

La autenticación FIDO es una creación de FIDO Alliance. El objetivo de los estándares de autenticación FIDO es reducir el uso de contraseñas y mejorar los estándares de autenticación en computadoras de escritorio y dispositivos móviles. FIDO está diseñado para proteger la seguridad y la privacidad de las personas como claves privadas y datos biométricos; si se usa, nunca deje el dispositivo de una persona. Puede deslizar una huella digital o ingresar un PIN de una sola vez, por ejemplo, y no necesita recordar una contraseña compleja. FIDO también es compatible con los principales navegadores y sistemas operativos, como las plataformas Windows 10 y Android, Google Chrome, Mozilla Firefox, Microsoft Edge y los navegadores web Apple Safari.

Las contraseñas estáticas son fáciles de robar por parte de los ciberdelincuentes mediante el phishing, el malware y otros tipos de ataques. Además, las grandes violaciones de datos han hecho que muchos nombres de usuario, contraseñas y otra información de identificación personal (PII) estén disponibles para los delincuentes en la Dark Web. Esto ha provocado una oleada explosiva de fraudes financieros, como la toma de control de cuentas, la ingeniería social y los ataques Man-in-the-Middle. Desde entonces, los gobiernos, los formuladores de políticas y los reguladores han respondido introduciendo leyes y regulaciones de ciberseguridad y seguridad de datos que obligan a las instituciones financieras y otras organizaciones a proteger el acceso a sus portales, aplicaciones y sistemas a través de la autenticación multifactor (MFA) y la autenticación sólida del cliente (SCA). . En 2013, cuando se lanzó la Alianza FIDO, la conciencia pública sobre las violaciones de datos estaba aumentando. Hoy, despues infracciones de alto perfil como Yahoo (3 mil millones de cuentas expuestas), Marriott (500 millones) y Equifax (147 millones), está claro que el acceso a cuentas y sistemas en línea debe estar protegido por una autenticación sólida en lugar de contraseñas.
 

FIDO AUTHENTICATION

FIDO AUTHENTICATION

Solutions based on the FIDO standard for simpler, stronger authentication using an open, scalable, and interoperable approach

Learn More


¿Cómo habilita la autenticación FIDO el inicio de sesión sin contraseña?

los Alianza FIDO ha creado especificaciones y certificaciones que son interoperables con el hardware y los autenticadores móviles de muchos proveedores, y la autenticación biométrica, como el reconocimiento facial, en diferentes navegadores y sistemas operativos. Esto permite una autenticación sin contraseña e inicio de sesión en muchas aplicaciones y sitios web para una experiencia de usuario más fluida. Los estándares de autenticación FIDO se basan en la criptografía de clave pública y están diseñados para proporcionar una experiencia de inicio de sesión fácil y segura y una mejor seguridad para los servicios web y en línea, a un costo menor. La última especificación de autenticación de FIDO es Client to Authenticator Protocols (CTAP). CTAP es complementario al Especificación de autenticación web del W3C (WebAuthn) ; WebAuthn es la API web estándar integrada en los navegadores web y las plataformas que permite la compatibilidad con la autenticación FIDO. CTAP y WebAuthn combinados se conocen como FIDO2.

FIDO2 es el protocolo más nuevo de la alianza FIDO

FIDO2 es el último protocolo de autenticación FIDO. La Alianza FIDO desarrolló FIDO2, que es más conveniente y proporciona más seguridad que la protección tradicional con contraseña, y este estándar fue aprobado por el Consorcio World Wide Web (W3C). Las especificaciones FIDO2 están compuestas por el protocolo de autenticación web (WebAuthn) del W3C y el protocolo de cliente a autenticador (CTAP) de FIDO Alliance. Juntos, estos componentes hacen posible la autenticación.

CTAP

CTAP permite a los usuarios iniciar sesión sin contraseña utilizando una clave de seguridad o su teléfono móvil para comunicar las credenciales de autenticación a través de USB, Bluetooth o NFC (comunicación de campo cercano) al dispositivo de una persona. Como resultado, CTAP facilita la autenticación en los navegadores web.

WebAuthn

WebAuthn permite que los servicios en línea utilicen la autenticación FIDO a través de una API web estándar (interfaz de programación de aplicaciones) que se puede integrar en los navegadores y permite que los dispositivos se comuniquen. Juntos, WebAuthn y CTAP permiten a los usuarios identificarse con datos biométricos, PIN o autenticadores FIDO externos, en un servidor FIDO2 que pertenece a un sitio web o aplicación web. FIDO2 es compatible con versiones anteriores de hardware de seguridad FIDO certificado previamente.

Cómo la autenticación FIDO mejora la seguridad y la privacidad

Las especificaciones de autenticación de FIDO están diseñadas para proteger la privacidad del usuario porque FIDO evita que la información de un cliente sea rastreada a través de los diferentes servicios en línea que utilizan. FIDO fue diseñado específicamente para mejorar la privacidad del usuario.

FIDO e infraestructura de clave pública (PKI)

FIDO se basa en criptografía de clave pública. De acuerdo a Gartner , "La infraestructura de clave pública (PKI) se desarrolló principalmente para respaldar el intercambio seguro de información en redes inseguras". Un buen ejemplo es un consumidor que realiza transacciones con su banco a través de la aplicación de banca móvil en su teléfono. La comunicación entre el servidor del banco y el teléfono del cliente debe estar cifrada. Esto se hace mediante claves criptográficas, conocidas como par de claves públicas y privadas. Piense en estas claves PKI como bloqueo y desbloqueo de información privada cifrada sobre la transacción bancaria. La clave pública se registra con el servicio en línea, por ejemplo, el servidor de un banco. La clave privada del cliente se puede usar solo después de que el usuario la desbloquee en el dispositivo. Como resultado, no existen secretos del lado del servidor que los ciberdelincuentes puedan robar.  

Además, no se comparte información entre las claves pública y privada. Por ejemplo, si desea autenticarse en un servicio en línea que admita la autenticación FIDO, puede hacerlo usando un dispositivo autenticador FIDO 2FA que se conecta al puerto USB de su computadora portátil. O, si usa un teléfono inteligente Apple o Android habilitado para FIDO, puede usar su teléfono como su autenticador FIDO. Primero, se le pedirá que elija un autenticador FIDO2, como Digipass FIDO Touch de OneSpan que coincida con la política de aceptación del servicio en línea. Luego desbloquearía su autenticador FIDO usando un PIN, huella digital, escaneo facial o un botón en un dispositivo de hardware. El uso de la autenticación FIDO para iniciar sesión acaba de eliminar la necesidad de una contraseña.

Cómo la autenticación FIDO ayuda a prevenir el phishing y otros ataques

La autenticación FIDO elimina las contraseñas. Las contraseñas son el eslabón más débil de la cadena de autenticación. Como resultado, los estándares FIDO son más resistentes a los ataques de ingeniería social como el phishing, donde los delincuentes intentan engañar a las personas con apelaciones emocionales o convincentes para que hagan clic en enlaces maliciosos para robar sus nombres de usuario, contraseñas e información confidencial. La autenticación FIDO también combate los ataques Man-in-the-Middle (MITM), que pueden interceptar las comunicaciones entre el dispositivo de un cliente y el servidor de una institución financiera. En este tipo de ataque, un delincuente puede alterar una transacción financiera para su propio beneficio. La especificación de FIDO aborda la privacidad ya que las claves privadas y las plantillas biométricas nunca abandonan el dispositivo del usuario y nunca se almacenan en un servidor. Las claves son únicas para cada transacción, lo que crea una superficie de ataque más pequeña para los ciberdelincuentes. Al requerir un PIN, una huella digital o un escaneo facial, el autenticador FIDO verifica que la persona que inicia sesión sea un ser humano real y vivo detrás de la computadora, y no un hacker o troyano remoto.

Cómo la autenticación FIDO simplifica la experiencia del cliente

El cliente ya no necesita recordar múltiples contraseñas complejas para diferentes dispositivos o sitios web. Su PIN o biométrico les permite desbloquear su clave privada en su dispositivo con una acción sencilla, como una huella digital o un escaneo facial, ingresar un código de acceso de un solo uso (OTP), usar el reconocimiento de voz o ingresar una OTP generada por un hardware. simbólico. La clave pública se almacena en el servidor del banco para verificar lo que se firmó en la clave privada, ya sea para autenticación o para una transacción. Las credenciales nunca son enviadas ni almacenadas por una empresa con la que realiza transacciones. Esto protege la privacidad y ayuda a proteger las credenciales de inicio de sesión del acceso de delincuentes. Los estándares también mejoran la experiencia del cliente en línea y pueden ayudar a aumentar la lealtad del cliente al hacer que la autenticación sólida sea más fácil de usar.

Conformidad

Los estándares FIDO cumplen con las regulaciones para una autenticación de usuario más sólida. FIDO está diseñado para cumplir con los requisitos de las Especificaciones Técnicas Regulatorias (RTS) de la Directiva de Servicios de Pago (PSD2) revisada de la Unión Europea porque la autenticación del cliente debe basarse en dos o más factores, incluidas contraseñas o PIN, tokens o dispositivos móviles, o biometría.

Los estándares FIDO también están diseñados para cumplir con:

  • El Reglamento general de protección de datos (GDPR): Todas las organizaciones que operan, almacenan o procesan los datos de ciudadanos de la UE están sujetas a los requisitos de GDPR. El uso de un PIN o datos biométricos para verificar que alguien es, de hecho, quien dice ser, es un ejemplo de autenticación multifactor requerida por el GDPR.
  • El Grupo de Acción Financiera Internacional (GAFI): La guía de identidad digital del GAFI establece que, "El enfoque basado en el riesgo recomendado por esta guía se basa en un conjunto de marcos de garantía de código abierto, impulsados por consenso y estándares técnicos para los sistemas de identificación digital".
  • Regulaciones de ciberseguridad del Departamento de Servicios Financieros de Nueva York (NYDFS): El regulador estatal más grande del estado de Nueva York es el NYDFS. El NYDFS introdujo los Requisitos de ciberseguridad para las empresas de servicios financieros, que requieren el uso de MFA “para proteger contra el acceso no autorizado a información o sistemas de información no públicos”, siendo la información no pública la información privada del individuo.
  • El Instituto Nacional de Estándares y Tecnología (NIST): La autenticación FIDO está diseñada para cumplir con los requisitos establecidos por NIST, para autenticar a los usuarios en sus redes porque cumple con las pautas del NIST para una autenticación sólida.

Póngase en contacto con nosotros

Póngase en contacto con uno de nuestros expertos en seguridad para obtener más información sobre cómo nuestras soluciones pueden ayudarlo con sus necesidades de seguridad digital.