Autenticación fuerte con FIDO y Mobile Connect (y II)

viernes, 20 de noviembre de 2015

En ElevenPaths llevamos trabajando ya algún tiempo en Mobile Connect, una iniciativa que permite a los usuarios autenticarse en sus servicios online usando su teléfono móvil. Los usuarios pueden conectarse a sus servicios sin passwords, simplemente usando su móvil, independientemente del canal que utilice para acceder al servicio. En el capítulo de hoy os contamos cómo es la experiencia de usuario y cómo funciona a través de FIDO y Mobile Connect. Veamos cómo.

Experiencia de usuario
La FIDO Alliance dispone de dos conjuntos de especificaciones que se corresponden con dos experiencias de usuario:
  • UAF (Universal Authentication Framework) o experiencia de usuario sin contraseña: El usuario en esta experiencia registra el dispositivo en el servicio usando el mecanismo de autenticación en el dispositivo local, por ejemplo con su huella dactilar. Una vez registrado, el usuario siempre que necesite autenticarse en el servicio online, solo tendrá que utilizar su huella dactilar. El usuario no tendrá que insertar ninguna password en ningún momento. Además esta experiencia permite combinar varios mecanismos de autenticación como la huella dactilar + PIN.

  • U2F (Universal Second Factor) o experiencia de usuario con segundo factor. Esta experiencia permite a los servicios incrementar la seguridad de la infraestructura de acceso con password, añadiendo un segundo factor. En este caso el usuario se accede con su usario y password como siempre. El servicio le mostrará al usuario que debe presentar un segundo factor. Este segundo factor permite al servicio usar contraseñas más simples sin comprometer la seguridad.


¿Qué hace que FIDO sea diferente?
FIDO es diferente a otras especificaciones porque separa el protocolo de autenticación entre el cliente y el servidor de la verificación local del usuario que se hace en el dispositivo de autenticación.
Este protocolo permite a los servicios integrarse de una vez y de forma universal con todos los dispositivos de autenticación que cumplan el estándar, garantizando la privacidad del usuario y de una forma segura.

Por otro lado, FIDO proporciona un conjunto de estándares para definir en el cliente una interfaz común y mecanismos para permitir a cualquier dispositivo de autenticación integrarse en este cliente de manera sencilla, como si de un “plugin” se tratara.

El cliente puede venir preinstalado en el cliente, bien en el propio OS o en el navegador. Los diferentes dispositivos de autenticación (biométricos, basados en PIN, etc.) se conectan al cliente mediante una interfaz también estandarizada por las especificaciones FIDO.

Mobile Connect y FIDO
Mobile Connect admite varios tipos de autenticadores, con diferentes niveles de seguridad y son los servicios online los que deciden el tipo de autenticador que requieren para acceder a sus servicios. De esta manera, vemos que Mobile Connect comparte muchos objetivos con FIDO:
  • Objetivo 1: conseguir que los procesos de autenticación sean más simples y seguros
  • Objetivo 2: proporcionar mecanismos de autenticación de doble factor
  • Objetivo 3: definir un framework donde sea sencillo incorporar nuevos autenticadores a modo de plugins, siendo sencillo incorporar autenticadores que ofrezcan distintos niveles de seguridad, tanto existentes como nuevos que puedan surgir en el futuro.

El beneficio de integrar FIDO en Mobile Connect es entonces obvio, pues permitiría incluir cualquier autenticador compatible con la especificación para ser utilizado como mecanismo de autenticación Mobile Connect.

Pero no olvidéis que Mobile Connect no es sólo la autenticación sino que va más allá proporcionando atributos de identidad a través de OpenID Connect. Estos atributos pueden proporcionar información contextual sobre el usuario que unido a la autenticación permite al servicio online obtener una seguridad aún mayor.

Así que si tienes la suerte de tener un Samsung S6, sabed que su sensor de huella dactilar es compatible con FIDO y en breve podréis usarlo en Mobile Connect para conectaros a vuestros servicios online.

* Autenticación fuerte con FIDO y Mobile Connect (I)

También te puede interesar:
* Mobile Connect: el nuevo estándar en autenticación digital
* Introducing Mobile Connect - the new standard in digital authentication
* How Telefónica collaborates with the GSMA to define a project use case scenarios using lean startup”?

Cristina Díaz
cris.diaz@11paths.com

Juan Fabio García
juanfabio.garcia@11paths.com

Miguel García
miguel.garcialongaron@11paths.com


No hay comentarios:

Publicar un comentario