En los últimos tiempos, un asunto recurrente en lo referente a Internet y a la web es que la mayoría de pasos y decisiones se están dando alrededor de Chromium y no de estándares abiertos que funcionen con todos los navegadores. En ese sentido, la adopción de esa base por parte de Microsoft ha dejado a Firefox como el último navegador independiente para muchos.
Y sin embargo, el Consorcio World Wide Web (W3C) sigue dando buenas noticias para el mundo abierto y ha aprobado WebAuthn, o Web Authenticatión API, el estándar que implementa FIDO2 de forma fácil y permite identificarse e iniciar sesión en los navegadores sin necesidad de utilizar una contraseña. En su lugar, los usuarios pueden hacer uso de los datos biométricos, tokens para hardware y aplicaciones determinadas.
WebAuthn no ha nacido ahora, y es que lleva ya coleando unos años. Lo que ha cambiado ahora es que se ha aprobado la especificación final que permitirá implementarlo en todos los navegadores y sitios web que lo deseen con total compatibilidad. En Android, la certificación de FIDO2 se anunció hace unos días, en el marco del Mobile World Congress 2019.
La mejor noticia es que los principales actores, los navegadores, ya usan WebAuthn
Frente a esas buenas ideas que no triunfan y quedan en el olvido, parece ser que la historia de WebAuthn va por buen camino y de aquí a poco tiempo podremos ver cómo se dice paulatinamente adiós a las contraseñas. La explicación no es otra que su aparición desde hace mucho tiempo en las versiones estables de Google Chrome, Firefox, Microsoft Edge y Safari (de momento en desarrollo).
El próximo paso, pues, debe venir por parte de los desarrolladores de webs y plataformas que comiencen a permitir autenticación con tokens físicos y variables biométricas que nunca se almacenan en servidores, solo en los dispositivos. En Dropbox, por ejemplo, el soporte llegó el año pasado utilizando una llave de seguridad como la Yubikey. Lo mismo ocurre en todos los servicios de cuentas de Microsoft.
En cuanto a redes sociales, Facebook ya lo soporta y Twitter está en camino. GitHub, de forma independiente a su compra por Microsoft, también lo permite. Otros como IBM, PayPal, AirBnb o Alibaba no deberían tardar en incorporar sus ventajas, pues forman parte del proyecto.
WebAuthn no se promociona como una funcionalidad encaminada a eliminar contraseñas, sino a mejorar la seguridad y luchar contra prácticas maliciosas en Internet como puede ser el phishing. En el camino de lograr sistemas más seguros, se gana comodidad y se sustituyen las viejas y frágiles contraseñas (como las de ocho caracteres) por algo mucho más seguro, y que además ayuda e impide el rastreo en webs y servicios.
Ver 3 comentarios