Todos sabemos la importancia que tiene el compromiso entre seguridad y usabilidad. Para que un nuevo sistema de autenticación triunfe entre las masas debe ser amigable y fácil para el usuario. No es fácil mantener contraseñas seguras, únicas y aleatorias en cada uno de los registros de las decenas de webs a las que estamos suscritos ni aun usando gestores de contraseñas habituales.

Con el objetivo de mejorar la seguridad de estas credenciales sin sacrificar la experiencia de usuario surgió el estándar FIDO2.

FIDO2 es un estándar de autenticación creado por la alianza FIDO (Google, Amazon, Mozilla, Facebook, …) que, a grandes rasgos, permite usar criptografía de clave pública para la autenticación web pero permitiendo al usuario emplear mecanismos simples de autenticación local como podría ser un lector de huellas o una contraseña única tanto para el registro como para el posterior login. Con ello no solo se aumenta la seguridad de las credenciales (la clave privada nunca abandona el dispositivo local y son las claves públicas las que se almacenan en la web) sino que también se reduce mucho la posibilidad de ataques de phishing ya que el usuario no tiene acceso a las “contraseñas”.

El estándar FIDO2 ya lleva con nosotros unos meses y webs como Google, Twitter y Github ya han implementado su API, así como los navegadores más habituales (Chrome, Firefox, Edge y Safari). La semana pasada Android por fin consiguió la certificación FIDO2 para móviles superiores a Android 7.0 Nougat, lo cual abre un mundo de posibilidades.

Quizá el punto más flaco de este sistema sea el propio mecanismo de autenticación local ante un robo del dispositivo, es por ello que aparentemente no todos los smartphone van a recibir certificación biométrica FIDO. El recientemente anunciado Samsung Galaxy S10+ ha sido el primero en recibirla en gran parte gracias al lector de huellas ultrasónico que es mucho menos vulnerable que un lector de huellas habitual.