Alianza FIDO: la política gubernamental debe evolucionar con la tecnología
25 May, 2016
La autenticación es importante para los gobiernos que buscan soluciones para mejorar la seguridad, privacidad, interoperabilidad, y las experiencias de los clientes. Con los modernos enfoques de autenticación que se introducen en el mercado, las especificaciones FIDO le ofrecen a los gobiernos mejores opciones de autenticación fuerte. Pero la política gubernamental debe evolucionar a medida que evoluciona la tecnología. Ese es el aporte de un reciente seminario web patrocinado por FIDO Alliance.
Brett McDowell, director ejecutivo de FIDO Alliance, comenzó con un modesto juicio. “El mundo tiene un problema de contraseñas”.
A medida que aumentan las violaciones de datos – que le cuestan millones de dólares por violación a la empresa – es más presionante la necesidad de encontrar una alternativa respecto a las contraseñas. Los SMS para códigos de seguridad de un solo uso presentan problemas de fiabilidad y demoras, confusión para algunos usuarios, y credenciales que siguen siendo sensibles al phishing. “El nuevo modelo es FIDO – Fast Identity Online (Identidad rápida en línea)”, señala McDowell. “Se trata de una criptografía de clave pública aplicada a autenticación en línea, de manera que brinde una verdadera interoperabilidad entre sitios web y dispositivos, navegadores web y dispositivos dedicados de seguridad”.
Hubo un tiempo en que fortalecer la seguridad significaba disminuir la conveniencia, o viceversa. McDowell dice que eso puede cambiar con la introducción del autenticador FIDO en la arquitectura. “Sabíamos que no se podía resolver el problema con un solo producto. No importa cuán grande sea la empresa o cuánta penetración tenga en el mercado”, comenta McDowell. “El problema de las contraseñas es demasiado grande para que un participante, incluso si se trata de un gobierno, pueda resolverlo por sí solo. Había que hacerlo con estándares abiertos”.
La organización no lucrativa FIDO Alliance fue creada a principios de 2013 con 6 miembros. Su propósito: desarrollar estándares dirigidos a resolver la falta de interoperabilidad entre los dispositivos de fuerte autenticación, y los problemas relativos a los nombres de usuario y contraseñas. Al año siguiente comenzaron las implementaciones de dispositivos y servidores. El programa de certificación FIDO fue lanzado el año pasado y ahora se venden muchos teléfonos inteligentes y tabletas que tienen la certificación FIDO. La Alianza ha crecido hasta incluir más de 250 compañías dentro de su membresía.
“Una credencial FIDO desde el primer momento (out of the box) fortalece la privacidad”, plantea Paul Grassi, asesor senior de estándares y tecnología en el Instituto Nacional de Estándares y Tecnología. “Está incorporada dentro de la especificación de manera que no hay forma de rastrearla y perfilar el comportamiento del usuario en línea”. Dado que FIDO ahora está disponible comercialmente, Grassi plantea que NIST está procurando la forma de tener un servidor FIDO operando junto con un servidor PKI para lograr una fuerte interoperabilidad.
“Ahora tenemos una solución de fuerte autenticación que contrarresta los ataques más comunes como el phishing, vence la vulnerabilidad de una violación de datos porque no hay secretos en el servidor que puedan ser reutilizados si se produce una violación de datos, y la solución provee aquello por lo que hemos estado esperando todo este tiempo, que es una mejor experiencia de usuario”, señala McDowell. “Así es que ahora hay una verdadera demanda comercial para instrumentar esta solución”.
Gobiernos en todo el mundo están orientándose hacia la identidad y los requisitos de autenticación para sus sistemas propios, así como para los sistemas o industrias que ellos regulan. El gobierno del Reino Unido lanzó recientemente Gov.UK Verify, ofreciendo identidades seguras utilizando FIDO. No obstante, aún existen necesidades en cuanto a algo de educación. “Encontramos muchos gobiernos que no conocen bien sobre FIDO o no lo comprenden del todo”, expresa Jeremy Grant, director ejecutivo del Grupo Chertoff y anterior asesor ejecutivo senior de la Estrategia Nacional de Identidades de Confianza en el Ciberespacio (NSTIC).
Grant plantea que los gobiernos deben conocer que:
- la autenticación de dos factores ya no representa costos o cargos más altos. FIDO aborda específicamente esos problemas de costo y usabilidad.
- La tecnología actual permite habilitar dos factores seguros y distintivos de identificación en un solo dispositivo, en particular con los móviles.
- La autenticación fuerte necesita ser del tipo “adecuado”. Algunas soluciones son mejores que otras a medida que se innova.
- FIDO está diseñado para fortalecer la privacidad. Apoya los Principios de Privacidad de la Directiva Europea de Protección de Datos y otras iniciativas gubernamentales sobre privacidad. No están involucrados terceros, no hay secretos en el servidor, y los datos biométricos nunca salen del dispositivo.
“La Alianza trazó sus principios de privacidad con respecto a los requisitos del Grupo de Dirección de Ecosistema de Identidad“, explica Grant. “Desde una perspectiva de política y una perspectiva de mercado, FIDO provee mejor seguridad para servicios en línea, reduce el costo para la empresa, y finalmente resulta más sencillo y seguro para los consumidores”.