FIDO2 (Fast IDentity Online 2) es un estándar abierto para la autenticación de usuarios que pretende reforzar la forma en que las personas inician sesión en servicios en línea para aumentar la confianza general. FIDO2 refuerza la seguridad y protege a las personas y organizaciones frente a ciberdelincuentes mediante el uso de credenciales criptográficas resistentes a la suplantación de identidad para validar las identidades de los usuarios.
Es el último estándar de autenticación abierta desarrollado por FIDO Alliance, un consorcio del sector de Microsoft y otras organizaciones tecnológicas, comerciales y gubernamentales. La alianza lanzó los estándares de autenticación FIDO 1.0, que introdujeron la autenticación multifactor resistente a la suplantación de identidad (MFA) en 2014 y el estándar de autenticación sin contraseña más reciente, FIDO2 (también denominado FIDO 2.0 o FIDO 2) en 2018.
¿Qué son las claves de paso y cómo se relacionan con FIDO2?
Independientemente del tiempo, la complejidad o la frecuencia con la que se cambien, las contraseñas se pueden poner en peligro si se comparten de forma voluntaria o no. Incluso con una solución de protección con contraseña segura, todas las organizaciones están en riesgo de suplantación de identidad (phishing), piratería y otros ciberataques en los que se roban contraseñas. Una vez en las manos equivocadas, se pueden usar contraseñas para obtener acceso no autorizado a cuentas en línea, dispositivos y archivos.
Las claves de paso son credenciales de inicio de sesión FIDO2 que se crean mediante criptografía de clave pública. Un reemplazo eficaz de las contraseñas, aumenta la ciberseguridad al tiempo que hace que el inicio de sesión en aplicaciones web y sitios web compatibles sea más fácil de usar que los métodos tradicionales.
La autenticación sin contraseña FIDO2 se basa en algoritmos criptográficos para generar un par de claves de paso públicas y privadas, números largos y aleatorios que están relacionados matemáticamente. El par de claves se usa para realizar la autenticación de usuario directamente en el dispositivo de un usuario final, ya sea un equipo de escritorio, un portátil, un teléfono móvil o una clave de seguridad. Una clave de paso se puede enlazar a un único dispositivo de usuario o sincronizarse automáticamente entre varios dispositivos de un usuario a través de un servicio en la nube.
Cómo implementar FIDO2
La implementación del estándar FIDO2 en sitios web y aplicaciones requiere que su organización tenga hardware y software modernos. Afortunadamente, todas las plataformas web líderes, como Microsoft Windows, Apple iOS y MacOS, y los sistemas Android, y todos los exploradores web principales, incluidos Microsoft Edge, Google Chrome, Apple Safari y Mozilla Firefox, admiten FIDO2. La solución de administración de identidades y acceso (IAM) también debe admitir la autenticación FIDO2.
En general, la implementación de la autenticación FIDO2 en sitios web y aplicaciones nuevos o existentes implica estos pasos clave:
- Defina la experiencia de inicio de sesión del usuario y los métodos de autenticación, y establezca directivas de control de acceso.
- Cree o modifique páginas de registro e inicio de sesión existentes con las especificaciones de protocolo FIDO adecuadas.
- Configure un servidor FIDO para autenticar las solicitudes de registro y autenticación de FIDO. El servidor FIDO puede ser un servidor independiente, integrarse con un servidor web o de aplicaciones o proporcionarse como un módulo IAM.
- Cree flujos de trabajo de autenticación nuevos o modifique los existentes.
Ejemplo de implementación de FIDO2 en Azure Entra ID por Jackson Felden:
