El protocolo FIDO2 almacena la clave de autenticación solo en el dispositivo del usuario en condiciones fuera de línea. Por tanto, es mucho más seguro, fiable y fácil de usar.
Actualización 2 (13/8/19 a las 9:50 a.m. ET): Google está implementando la autenticación sin contraseña FIDO2 para cuentas de Google en dispositivos Android.
Actualización 1 (7/5/19 a las 1:31 p.m. ET): Google tiene Anunciado la disponibilidad general de esta nueva función, que le permite usar su teléfono como clave de seguridad para la autenticación de dos pasos.
Vivir en un mundo sin contraseñas es el futuro con el que sueñan muchos entusiastas de la tecnología. No existe una ETA ni una barra de progreso sobre el pico de avance de esta tecnología, pero su llegada es inevitable. Las contraseñas están anticuadas, se olvidan fácilmente y, a menudo, son inseguras. incluso cuando tomas medidas adicionales como la autenticación de 2 factores. Como muchas tendencias importantes que se avecinan, Google también juega un papel importante en ésta. Esto no debería sorprender en absoluto, considerando que esta empresa posee el sistema operativo móvil, el navegador web y el motor de búsqueda más populares. Google ha estado trabajando en el desarrollo de esta tecnología con socios como Microsoft y otros gigantes tecnológicos durante los últimos años. Ayer, la empresa dio otro gran paso hacia la función sin contraseña.
La Alianza FIDO Anunciado ayer en el Mobile World Congress que Android ahora tiene la certificación FIDO2. Si no ha oído hablar de ellos antes, FIDO Alliance es una asociación que trabaja y define los estándares de autenticación sin contraseña. Algunos de los miembros de la alianza son Google, Facebook, GitHub, Dropbox, eBay y muchos más. Junto con socios de todo el mundo, FIDO Alliance ha estado trabajando en la certificación FIDO2 durante los últimos años.
Además de las obvias mejoras de conveniencia y usabilidad con respecto a las contraseñas fechadas habituales, el protocolo FIDO2 también ofrece una seguridad mucho mejor. Verá, tradicionalmente, la autenticación mediante contraseñas funcionaba así: tanto el usuario como el servicio tenían una clave secreta almacenada en el servidor y en el dispositivo. Durante el proceso de autenticación, el usuario envía la contraseña al servidor, donde se cifra y se compara con la clave almacenada. Si las claves coinciden, el usuario obtiene acceso a su cuenta/contenido. Ahora bien, este método tiene un gran defecto: las claves de autenticación se almacenan en dos ubicaciones diferentes, lo que las hace 2 veces más vulnerables a los ataques. Es cierto que existen métodos, como el cifrado de extremo a extremo, para evitarlos, pero los piratas informáticos siempre encuentran nuevas formas de explotar estos defectos obvios.
El protocolo FIDO2 almacena la clave de autenticación únicamente en el dispositivo del usuario en condiciones fuera de línea. Por tanto, es mucho más seguro, fiable y fácil de usar. La certificación FIDO2 ahora está disponible en todos los dispositivos móviles con Android 7.0 Nougat o posterior. Los desarrolladores de aplicaciones móviles y web ya pueden utilizar las API para implementar la función en sus propios servicios.
Actualización 2: Cuentas de Google
Google ha comenzado a implementar la autenticación sin contraseña FIDO2 en cuentas de Google en dispositivos Android 7+, a partir de hoy con dispositivos Pixel. Los usuarios pueden utilizar su huella digital o el método de bloqueo de pantalla en lugar de escribir su contraseña cuando visitan ciertos servicios de Google. Esto significa que un usuario puede registrar su dedo una vez y usarlo para una serie de servicios web y nativos. La huella digital nunca se envía a los servidores de Google.
Para probarlo ahora mismo, vaya a contraseñas.google.com, elija un sitio para ver o administrar una contraseña guardada y siga las instrucciones para confirmar su identidad.
Fuente: Google