La API de Web Authentication ya es un estándar aprobado por el W3C. A partir de ahora te podrás registrar usando la huella dactilar en lugar de una contraseña.
El World Wide Web Consortium (W3C) ha anunciado que la API de Web Authentication (WebAuthn) ya es un nuevo estándar de la web. Esto quiere decir que a partir de ahora las páginas web podrán usar, entre otros, la huella dactilar de los usuarios para que se registren en lugar de tener que recurrir a contraseñas.
Según explica el W3C, este estándar permite una autentificación "más sencilla y más poderosa" desde el punto de vista de la seguridad, ya que no requiere que los usuarios tengan que escribir su contraseña... ni recordarla. Y la mayoría ya tiene los lectores necesarios en sus teléfonos.
De este modo, gracias a la API las webs se podrán comunicar con un dispositivo de seguridad para permitir que el usuario inicie sesión. Este terminal podrá ser una llave USB, un lector de huella dactilar o directamente el móvil del usuario y sus sistemas de reconocimiento por biométrica.
El sistema vinculará esta información con cada sitio de forma encriptada (las credenciales son únicas para cada página), pero la información de inicio de sesión nunca abandona el dispositivo del usuario ni es almacenada en un servidor.
MAYOR SEGURIDAD
Hace tiempo que las contraseñas son una solución desfasada, ya que su propia naturaleza (deben ser algo difícil de adivinar) hace que sean molestas para el usuario (a quien les cuesta recordarlas) y le incentiva a recurrir a claves que no olvide fácilmente o a repetirlas en distintos servicios. El hecho de que tengan que ser tecleadas también supone un reto de seguridad, pues se puede ver o registrar lo que se teclea.
Según un estudio de Yubico mencionado por la W3C en una nota de prensa, los usuarios pierden 10,9 horas al año introduciendo o reseteando sus contraseñas. Y aunque los sistemas de autenticación en dos pasos añaden una capa adicional de seguridad, también son vulnerables y presentan otros problemas, como la necesidad de dar el número de teléfono a la compañía.
Lo mejor es que muchas de las grandes empresas del sector tecnológico ya utilizan esta especificación. Google (tanto en Android como en Chrome), Microsoft (en Windows 10 y Edge), Apple (en Safari), Mozilla, Facebook, Twitter o Dropbox, entre otras, ya habían implementado WebAuthn. El consorcio espera que esto haga que otras páginas se sumen rápidamente y que la próxima vez que te registres en una web no tengas que pensar una nueva contraseña.