Presentamos Autenticación Web en Microsoft Edge
Por: Angelo Liao, gerente de programa en Microsoft Edge e Ibrahim Damlaj, gerente de programa de seguridad en Windows.
Estamos felices por presentar el soporte para la especificación de Autenticación Web en Microsoft Edge, que permite experiencias de usuario más seguras y mejores, además de una experiencia sin contraseñas en la web.
Con Autenticación Web, los usuarios de Microsoft Edge pueden ingresar con su rostro, huella digital, PIN, o dispositivos FIDO2 portátiles, para aprovechar las fuertes credenciales de llave pública en lugar de las contraseñas.
Una web sin contraseñas
Mantenerse seguros en la web es más importante que nunca. Confiamos en los sitios web para procesar números de tarjetas de crédito, almacenen direcciones e información personal, e incluso para que manejen registros sensibles como información médica. Todos estos datos son protegidos por un modelo de seguridad antiguo, la contraseña. Pero las contraseñas son difíciles de recordar y de manera fundamental, son inseguras, en ocasiones son reutilizadas y son vulnerables al phishing y al cracking.
Por estas razones, Microsoft ha liderado el camino hacia un mundo sin contraseñas, con innovaciones como biométricos en Windows Hello y ha sido pionero en trabajos como la FIDO Alliance para crear un estándar abierto para una autenticación sin contraseña, conocido como Autenticación Web.
Comenzamos esta jornada en 2016, cuando entregamos la primera versión previa de la industria de implementación de la API de Autenticación Web en Microsoft Edge. Desde entonces, hemos actualizado nuestra implementación de esto mientras trabajamos con otros proveedores y con la FIDO Alliance para desarrollar el estándar. En marzo de 2018, FIDO Alliance anunció que la API de Autenticación Web había alcanzado el estatus Candidate Recommendation (CR) en W3X, un gran logro para la madurez e interoperabilidad de la especificación.
Autenticadores en Microsoft Edge
A partir de la versión 17723, Microsoft Edge soporta la versión CR de Autenticación Web. Nuestra implementación brinda el soporte más completo a la fecha para Autenticación Web, con soporte para una variedad más amplia de autenticadores que otros navegadores.
Windows Hello permite a los usuarios autenticarse sin la necesidad de una contraseña en cualquier dispositivo Windows 10, a través de biométricos (como el reconocimiento facial o de huella digital), o un número PIN para ingresar a sitios web. Con el reconocimiento facial de Windows Hello, los usuarios pueden registrarse en segundos a sitios que soporten la Autenticación Web, con sólo un parpadeo.
Los usuarios también pueden utilizar claves de seguridad FIDO2 para autenticarse con un dispositivo removible y sus biométricos o PIN. Para los sitios web que no están listos para moverse a un modelo que no utilice contraseñas en lo absoluto, la retrocompatibilidad con los dispositivos FIDO U2F puede brindar un segundo factor con fortaleza, además de la contraseña.
Trabajamos con socios de la industria para dar vida a las primeras experiencias sin contraseña alrededor de la web. En RSA 2018, compartimos un vistazo sobre cómo estas API podrían ser utilizadas para aprobar un pago en la web con su rostro. Las experiencias de autenticación sin contraseña como estás, son la base de un mundo sin contraseñas.
Para comenzar
Estamos emocionados por poner en manos de más desarrolladores la implementación para ver lo que consiguen. Para comenzar con la Autenticación Web en Microsoft Edge, vean la información sobre nuestra implementación en la guía de desarrollador de Autenticación Web o instalen la versión 17723 de Windows Insider Preview o superior, y ¡Pruébenla por ustedes mismos!