Aprobaron un sistema para reemplazar las contraseñas en la web

El Consorcio World Wide Web (W3C) y la Alianza Fido aprobaron el estándar WebAuthn, la API que permite identificarse e iniciar sesión en los navegadores web de manera más segura y sin usar contraseña.

Este sistema permite al usuario identificarse utilizando datos biométricos, sus móviles o llaves de seguridad. A partir de ahora, los servicios web y las app podrán activar esta función para que los usuarios cuenten con esta opción que ofrece mayor seguridad que las contraseñas.

WebAuthn se viene gestando hace años. La novedad es que ahora se aprobó la especificaciones finales, el estándar es oficial y se podrá implementar en todos los navegadores y sitios web.

El estándar busca combatir el phishing, una técnica de engaño muy utilizada por los cibercriminales para obtener contraseñas y datos personales de usuarios.
El estándar busca combatir el phishing, una técnica de engaño muy utilizada por los cibercriminales para obtener contraseñas y datos personales de usuarios.

WebAuthn es compatible con Google Chrome, Android, Windows 10, Microsoft Edge, Mozilla Firefox y Safari. Facebook y Github por su parte, ya lo soportan y hay unos otros cuantos sitios que van en camino a incorporar este estándar.

Este sistema permite combatir algunos problemas de ciberseguridad que surgen a raíz de los robos de contraseñas, filtraciones o accesos a estos datos por medio de técnicas de phishing.

Según un estudio de Yubico, un usuario pasa 10,9 horas al año ingresando o restableciendo contraseñas, lo cual le cuesta a las compañías un promedio de 5,2 millones de dólares anuales, tal como se menciona en el anuncio oficial.

«Si bien las soluciones de autenticación multifactor, como los códigos que se reciben por SMS añaden una capa de seguridad, siguen siendo vulnerables a los ataques de phishing, no son sencillas de usar y no son muy utilizadas», se menciona en el comunicado.

Este nuevo estándar, en cambio, ofrece un inicio de sesión seguro y único en cada sitio, por medio de datos biométricos o dispositivos externos como son las llaves de seguridad, por ejemplo. Y esos datos no se almacenan en el servidor.