Los principales desarrolladores de navegadores, incluidos Google, Mozilla y Microsoft, aceptaron incorporar la versión final del protocolo WebAuthn que le permite a los sitios prescindir de la contraseña del usuario si este cuenta con una forma externa de autenticación como una llave de seguridad o su teléfono. Estos dispositivos se comunicarán directamente con el sitio vía Bluetooth, USB o NFC y, según informaron, está diseñado para evitar los ataques de phishing.
Así, al usar este nuevo método, los usuarios no solo se ahorran la necesidad de recordar una frase -e inventar una nueva cada mes-, sino también los riesgos de seguridad asociados a la existencia de las contraseñas. Los ataques de phishing, los robos de credenciales dejarán de tener sentido porque con WebAuthn no habrá credenciales que robar. El token generado que permite identificar al usuario solo será válido por unos segundos, lo que tarda en ingresar al sistema.
El funcionamiento será simple: cuando el usuario quiera ingresar al sitio, este le pedirá que autorice el acceso desde su teléfono. Toca en la notificación y listo, entra a su cuenta sin escribir nada.
Según Brett McDowell, el director ejecutivo de la alianza FIDO, luego de años de problemas de seguridad y robos de contraseñas y credenciales, es tiempo de que quienes brindan los servicios dejen de depender de las contraseñas e incorporen protocolos de autenticación que sea resistentes a los ataques de Phishing.
WebAuthn todavía no está listo, pero alcanzó la etapa de Candidato Recomendado y solo queda que los organismos que definen los estándares de la web lo aprueben.
