El Estándar FIDO2 es el acrónimo de Fast Identity Online y permite que los usuarios puedan utilizar sus propios dispositivos (smartphones o portátiles con biometría, llaves de seguridad USB, etc.) para realizar la autenticación en servicios online, tanto en entornos móviles como de escritorio.
FIDO es un especificación técnica promovida por la FIDO Alliance, un consorcio de empresas tecnológicas, financieras y gubernamentales creado con el objetivo de eliminar el uso de contraseñas en sitios web y aplicaciones, mejorando los procesos de autenticación.
Al eliminar la necesidad de contraseñas, el estándar FIDO2 mejora la seguridad, la comodidad y la protección contra el fraude en las interacciones digitales, ofreciendo una experiencia de autenticación más confiable y moderna para los usuarios.
FIDO2, su evolución posterior, habilita que la autenticación también se pueda hacer en entornos web.
Descárgate nuestra guía sobre el Estándar FIDO2
Procotolos de la especificación FIDO2
La especificación FIDO2 se divide en realidad en dos protocolos distintos:
- El protocolo WebAuthn del W3C, que es el que define la comunicación entre el navegador (user agent) y el servidor FIDO2 (relying party).
- El protocolo CTAP (Client-to-Authenticator Protocol) de la FIDO Alliance, que es el que define la comunicación entre el navegador (user agent) y el dispositivo que realmente realiza la autenticación del usuario (authenticator).
¿Para qué sirve FIDO2?
Con FIDO2 se puede usar la biometría que tengamos almacenada en nuestro ordenador o dispositivo móvil (lector de huellas, Touch ID, FACE ID, un token externo, etc) para acceder a cualquier web o aplicación.
La autenticación se haría de forma local en el dispositivo y para aquellos dispositivos y biometrías registradas previamente, utilizando la biometría como segundo factor de autenticación y facilitando la vida al usuario al no tener que memorizar su usuario y contraseña.
De esta manera se refuerza la seguridad del proceso y se aporta un mecanismo de acceso a la plataforma mucho más amigable para los usuarios.
¿Cómo funciona FIDO2?
A alto nivel, existen dos flujos y operaciones principales en FIDO 2:
Operación de registro en FIDO2
El usuario se registra en un servicio online y genera en el dispositivo un par de claves nuevas, que consisten en una clave privada y una clave FIDO2 pública.
Mientras que la clave privada se almacena en el dispositivo y solo se conoce en el lado del cliente, la clave pública se registra en la base de datos de claves del servicio web.
El flujo sería el siguiente:
- El usuario entra en la plataforma web de la empresa desde su smartphone o laptop y realiza la autenticación con las credenciales tradicionales (usuario / password) para probar su identidad.
- En algún apartado de la web (perfil de usuario, configuración…) existirá la opción de habilitar el login biométrico desde ese dispositivo.
- Al seleccionar esa opción, se produce el intercambio de claves criptográficas que permitirá utilizar posteriormente ese mismo dispositivo para realizar la autenticación del usuario.
Proceso de autenticación en FIDO2
Las autenticaciones posteriores solo son posibles si se aporta la clave privada, que siempre debe desbloquearse mediante la acción del usuario:
- El usuario no autenticado entra en la página web de la empresa desde un navegador móvil o de escritorio, y es redirigido a la página de login.
- En esa página de login, además de la opción tradicional de usuario/contraseña, tendrá habilitada la opción de realizar el login mediante el mecanismo de autenticación biométrica local del dispositivo.
- Al seleccionar esa opción, si ese usuario/dispositivo estaba previamente registrado, se producirá un intercambio de retos criptográficos entre el servidor y el navegador que permitirán autenticar al usuario mediante el mecanismo local de su elección (TouchID o FaceID en un iPhone, TouchID en un Mac, sensores de huella, cara o iris en un Android, etc.)
Autenticación fuera de banda en FIDO2
Existe también la posibilidad de realizar la autenticación fuera de banda, en cuyo caso el usuario recibirá la petición de autenticación mediante un enlace por SMS al número de teléfono que tenga registrado, y realizará la autenticación en el propio dispositivo móvil.
De esta forma, se pueden sustituir los mensajes OTP utilizados en la industria financiera como segundo factor de autenticación por mensajes seguros que soliciten la autenticación del usuario a través de la biometría de su propio dispositivo.
Ventajas de la utilización del Estándar FIDO2
Las principales ventajas de la utilización del Estándar FIDO2 son:
- Seguridad: seguridad FIDO2 cifra el inicio de sesión de forma predeterminada con un par de claves (privada y pública) que solo pueden desbloquearse con el dispositivo registrado. Las credenciales criptográficas de login son únicas para cada sitio web, nunca abandonan el dispositivo del usuario ni son almacenadas en ningún servidor. Este modelo de seguridad evita riesgos de phishing, robos de contraseñas o ataques de replay.
- Comodidad: Los usuarios desbloquean sus credenciales criptográficas con los métodos de seguridad que incorporan sus dispositivos (sensores de huella, reconocimiento facial, etc.), llaves USB, pulseras Bluetooth, etc.
- Privacidad: Por un lado las claves criptográficas con únicas para cada sitio web, por lo que no pueden ser utilizadas para seguir el rastro del usuario entre distintos sitios. Además, los datos biométricos nunca abandonan el dispositivo del usuario. Esto solventa importantes problemas que podrían derivarse de un almacenamiento centralizado de huellas biométricas de los usuarios.
- Escalabilidad: El modelo descentralizado de autenticación permite una alta escalabilidad. Las aplicaciones web realizan la autenticación mediante una API Javascript estandarizada y soportada por la mayoría de navegadores modernos.
FIDO2 Powered by Mobbeel
Nuestra solución de reconocimiento multibiométrico, MobbID, soporta el Estándar FIDO2 para dar respuesta a múltiples casos de uso, como pueden ser:
- Escenarios en los que se requiera un doble factor de autenticación (2FA), como aquellos exigidos tras en la aparición de la PSD2, la directiva europea para reforzar la seguridad en las operaciones bancarias realizadas en Internet.
- Accesos a entornos web sin la utilización de contraseñas.
- Sustitución de códigos OTP.
Además, hemos desarrollado de manera conjunta con el Laboratorio de Innovación en Identidad de Telefónica Tech una solución basada en el estándar de Identidad FIDO2, que permite confirmar transacciones a través de SMS seguros y biometría, ayudando a evitar el fraude de SIM Swapping.
Si estás buscando un sistema de autenticación a través del Estándar FIDO2, ¡no dudes en ponerte en contacto con nosotros!
Soy Ingeniero Informático y amante del Marketing, Comunicación e Internacionalización de empresas, tareas que desarrollo como CMO de Mobbeel. Soy muchas cosas, algunas buenas, muchas malas… perfectamente imperfecto.
