La Alianza FIDO ("Fast IDentity Online") es una asociación industrial abierta lanzada en febrero de 2013 cuya misión declarada es desarrollar y promover estándares de autenticación que "ayuden a reducir la excesiva dependencia mundial de las contraseñas ". [1] FIDO aborda la falta de interoperabilidad entre dispositivos que utilizan autenticación fuerte y reduce los problemas que enfrentan los usuarios al crear y recordar múltiples nombres de usuario y contraseñas.
FIDO admite una gama completa de tecnologías de autenticación, incluidas las biometrías , como los escáneres de huellas dactilares e iris , el reconocimiento de voz y facial , así como las soluciones y estándares de comunicación existentes, como los módulos de plataforma confiable (TPM), los tokens de seguridad USB [ aclaración necesaria ] , los elementos seguros integrados (eSE), las tarjetas inteligentes y la comunicación de campo cercano (NFC). [2] El dispositivo de token de seguridad USB se puede utilizar para autenticar utilizando una contraseña simple (por ejemplo, un PIN de cuatro dígitos ) o presionando un botón. Las especificaciones enfatizan un modelo centrado en el dispositivo. La autenticación por cable [ aclarar ] ocurre utilizando criptografía de clave pública . El dispositivo del usuario registra al usuario en un servidor registrando una clave pública. Para autenticar al usuario, el dispositivo firma un desafío del servidor utilizando la clave privada que posee. Las claves en el dispositivo se desbloquean mediante un gesto de usuario local, como un biométrico o presionando un botón.
FIDO proporciona dos tipos de experiencias de usuario según el protocolo utilizado. [2] Ambos protocolos definen una interfaz común en el cliente para cualquier método de autenticación local que utilice el usuario.
Presupuesto
Las siguientes especificaciones abiertas se pueden obtener en el sitio web de FIDO. [3]
Marco de autenticación universal (UAF)
Norma propuesta UAF 1.0 (8 de diciembre de 2014)
Norma propuesta UAF 1.1 (2 de febrero de 2017)
Borrador de revisión de UAF 1.2 (28 de noviembre de 2017)
Propuesta de norma CTAP 2.0 (27 de septiembre de 2017)
Borrador de implementación del CTAP 2.0 (27 de febrero de 2018)
El estándar propuesto U2F 1.0 (9 de octubre de 2014) fue el punto de partida de la especificación conocida como estándar propuesto FIDO 2.0 (4 de septiembre de 2015). Este último se presentó formalmente al Consorcio World Wide Web (W3C) el 12 de noviembre de 2015. [5] Posteriormente, el primer borrador de trabajo del estándar de autenticación web del W3C ( WebAuthn ) se publicó el 31 de mayo de 2016. El estándar WebAuthn ha sido revisado numerosas veces desde entonces, convirtiéndose en una recomendación del W3C el 4 de marzo de 2019.
Mientras tanto, el estándar propuesto U2F 1.2 (11 de julio de 2017) se convirtió en el punto de partida para el estándar propuesto de protocolo de cliente a autenticador 2.0, que se publicó el 27 de septiembre de 2017. FIDO CTAP 2.0 complementa W3C WebAuthn, ambos dentro del alcance del Proyecto FIDO2 .
En conjunto, WebAuthn y CTAP especifican un protocolo de autenticación estándar [7] donde los puntos finales del protocolo consisten en un autenticador criptográfico controlado por el usuario (como un teléfono inteligente o una clave de seguridad de hardware ) y una Parte Confiable de WebAuthn (también llamada servidor FIDO2). Un agente de usuario web (es decir, un navegador web) junto con un cliente WebAuthn forman un intermediario entre el autenticador y la parte confiada. Un solo dispositivo cliente WebAuthn puede admitir varios clientes WebAuthn. Por ejemplo, una computadora portátil puede admitir varios clientes, uno para cada agente de usuario conforme que se ejecuta en la computadora portátil. Un agente de usuario conforme implementa la API JavaScript de WebAuthn.
Como su nombre lo indica, el Protocolo de Cliente a Autenticador (CTAP) permite que un autenticador criptográfico compatible interopere con un cliente WebAuthn. La especificación CTAP hace referencia a dos versiones de protocolo llamadas CTAP1/U2F y CTAP2. [8] Un autenticador que implementa uno de estos protocolos se conoce normalmente como autenticador U2F o autenticador FIDO2, respectivamente. Un autenticador FIDO2 que también implementa el protocolo CTAP1/U2F es compatible con versiones anteriores de U2F.
La invención del uso de un teléfono inteligente como autenticador criptográfico en una red informática se reivindica en la patente estadounidense 7.366.913, presentada en 2002.
Hitos
(09/10/2014) Se publicó el estándar propuesto U2F 1.0
(2014-12-08) Se publicó el estándar propuesto UAF 1.0 [9] [10]
(30/06/2015) La FIDO Alliance lanzó dos nuevos protocolos que admiten la tecnología Bluetooth y la comunicación de campo cercano (NFC) como protocolos de transporte para U2F [11]
(04-09-2015) Se publicó el estándar propuesto FIDO 2.0
Formato de certificación de claves FIDO 2.0
Formato de firma FIDO 2.0
API web de FIDO 2.0 para acceder a las credenciales de FIDO 2.0
(12/11/2015) La Alianza FIDO presentó el Estándar Propuesto FIDO 2.0 al Consorcio World Wide Web (W3C) [5] [12]
(2017-02-02) Se publicó el estándar propuesto UAF 1.1
(11/07/2017) Se publicó el estándar propuesto U2F 1.2
(27/09/2017) Se publicó el estándar propuesto para el Protocolo de cliente a autenticador 2.0
(28/11/2017) Se publicó el borrador de revisión de UAF 1.2
(27/02/2018) Se publicó el borrador de implementación del Protocolo de cliente a autenticador 2.0
(2019–03) La recomendación de autenticación web (WebAuthn) del W3C, un componente central del conjunto de especificaciones FIDO2 de la FIDO Alliance, se convirtió en un estándar web oficial. [13]
^ "Contraseña: el problema de seguridad que los grandes líderes quieren eliminar". 30 de junio de 2020.
^ ab "Descripción general de las especificaciones". FIDO Alliance . Consultado el 31 de octubre de 2014 .
^ "Descargar especificaciones". FIDO Alliance. 23 de diciembre de 2014. Consultado el 13 de febrero de 2019 .
^ "FIDO 2.0: Descripción general". fidoalliance.org . Consultado el 21 de enero de 2021 .
^ ab "Solicitud de presentación al W3C: Especificaciones de la plataforma FIDO 2.0 1.0". Consorcio World Wide Web (W3C) . Consultado el 12 de febrero de 2019 .
^ "FIDO2: Moving the World Beyond Passwords" (FIDO2: un mundo más allá de las contraseñas). FIDO Alliance . Consultado el 30 de enero de 2019 .
^ Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, JC; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil (eds.). "Autenticación web: una API para acceder a credenciales de clave pública de nivel 1". Consorcio World Wide Web (W3C) . Consultado el 30 de enero de 2019 .
^ Brand, Christiaan; Czeskis, Alexei; Ehrensvärd, Jakob; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Powers, Adam; Verrept, Johan, eds. (27 de febrero de 2018). "Client to Authenticator Protocol (CTAP)". FIDO Alliance . Consultado el 30 de enero de 2019 .
^ "Especificaciones FIDO 1.0 publicadas y definitivas". FIDO Alliance. 9 de diciembre de 2014. Consultado el 31 de diciembre de 2014 .
^ "Computerworld, 10 de diciembre de 2014: "La especificación de autenticación abierta de FIDO Alliance va más allá de las contraseñas"". Computerworld. 9 de diciembre de 2014. Consultado el 10 de diciembre de 2014 .
^ "eWeek, 1 de julio de 2015: "FIDO Alliance extiende los estándares de seguridad de dos factores a Bluetooth y NFC"". eWeek. Julio de 2015. Consultado el 1 de julio de 2015 .
^ "Envío de un miembro del W3C del 20 de noviembre de 2015: FIDO 2.0: API web para acceder a las credenciales de FIDO 2.0". W3C . Consultado el 14 de marzo de 2016 .
^ "Historia de FIDO Alliance". 22 de diciembre de 2014.
^ "Empresas y organizaciones miembros de la Alianza FIDO". Alianza FIDO . 3 de diciembre de 2017. Consultado el 22 de marzo de 2024 .