Autenticación fuerte con FIDO y Mobile Connect (I)

miércoles, 18 de noviembre de 2015

Hoy en día la mayoría de los servicios utilizan un modelo de autenticación fuerte para autenticar a sus usuarios. Los bancos, por ejemplo, usan diferentes técnicas de autenticación fuerte para autenticar a sus clientes y autorizar las operaciones bancarias. La autenticación fuerte es una manera de asegurar que la persona que se identifica en un sistema es quien dice ser y se basa en tres factores básicos:
  • Algo que tiene: credencial, OTP, tarjeta magnética
  • Algo que sabe: clave, PIN, preguntas sobre tú identidad
  • Algo que se es: huella dactilar, reconocimiento facial, iris, voz o incluso tu firma.
Hablamos de autenticación fuerte cuando un sistema usa al menos dos de los tres factores básicos, de modo que si uno de los factores se encuentra comprometido todavía existe un segundo factor que le garantiza la seguridad. Sin embargo, las técnicas de autenticación fuerte utilizadas hoy en día carecen en muchos casos de la usabilidad necesaria. Véase el ejemplo de las tarjetas de coordenadas.

¿Qué es FIDO?
La FIDO (Fast IDentity Online) Alliance es un consorcio de más de 150 empresas que pretende reanalizar y rediseñar la autenticación de los servicios online creando estándares abiertos. El objetivo de esta alianza es afrontar el problema no sólo de los usuarios a la hora de crear y recordar sus contraseñas, sino también eliminar la falta de interoperabilidad que actualmente existe entre los distintos mecanismos de autenticación fuerte. El consorcio incluye compañías de envergadura como Google, Microsoft y Samsung. Microsoft anunció que su nuevo Windows 10 tendrá soporte a FIDO. Y en el caso de Samsung, su terminal Samsung Galaxy S6 incorpora un sensor de huella dactilar compatible también con FIDO. Los miembros de la FIDO Alliance comparten tecnología y colaboran en la elaboración de estándares para conseguir que los métodos de autenticación fuerte sean interoperables, más seguros, privados y más fáciles de usar que las passwords. El propósito de FIDO es conseguir que sus especificaciones engloben una amplia gama de tecnologías de autenticación, incluyendo las biométricas como las huellas dactilares, el iris etc., pero también otros mecanismos de autenticación existentes como TPMs, USB security tokens o smart cards.  

¿Cómo funciona FIDO?
Las especificaciones de FIDO utilizan un modelo centrado en el dispositivo. La idea fundamental que persigue la alianza es separar el protocolo de autenticación del mecanismo de verificación de la identidad del usuario. De esta manera, estandarizando el protocolo de autenticación, se consigue garantizar la interoperabilidad, dejando la verificación del usuario como algo intrínseco al propio dispositivo de autenticación. Los protocolos de autenticación definidos utilizan como base la criptografía asimétrica. Durante la fase de registro, el dispositivo de autenticación genera una clave privada, y envía la pública al servidor, junto con el identificador del usuario. Previo a la generación de la clave, el dispositivo de autenticación verifica al usuario mediante la huella dactilar, un PIN o algún otro mecanismo.
Para autenticar al usuario, el dispositivo firma un reto que le envía el servidor con la clave privada que generó durante el registro. Previo a la firma del reto, el dispositivo podrá verificar localmente la identidad del usuario mediante un botón, un PIN, biometría o incluso una combinación de ambas.
Tanto en el registro como en la autenticación, la información biométrica o el PIN usado en la verificación local del usuario nunca abandona el dispositivo de autenticación local. Otra característica importante de FIDO es que está diseñado para garantizar la privacidad del usuario. Los protocolos están definidos de manera que no proporcionan ningún tipo de información sobre el usuario que permita a uno o varios servicios colaborar y hacer un seguimiento del usuario a través de los servicios. En el próximo capítulo veremos qué hace que FIDO sea diferente y su integración con Mobile Connect.

* Autenticación fuerte con FIDO y Mobile Connect (II) 

Cristina Díaz
cris.diaz@11paths.com
Juan Fabio García
juanfabio.garcia@11paths.com
Miguel García
miguel.garcialongaron@11paths.com

No hay comentarios:

Publicar un comentario