En la segunda parte de nuestra exploración de passkeys y WebAuthn, desentrañamos las complejidades técnicas que sustentan este cambio revolucionario en los protocolos de autenticación. Puedes leer, si aún no lo has hecho, la primera parte aquí.
WebAuthn: Descifrando el código
Las contraseñas son conocidas por su susceptibilidad a violaciones, lo que impulsa la necesidad de un cambio radical. WebAuthn surge como el faro de la transformación, introduciendo un nuevo tipo de credencial: las passkeys, basadas en la criptografía de clave pública/privada.
En el ámbito criptográfico, una clave pública compartida abiertamente y una clave privada resguardada celosamente forman la base de la seguridad. WebAuthn aprovecha este marco para crear una infraestructura segura de passkeys.
Durante el registro, un usuario genera un par de claves pública/privada. La clave privada, almacenada de manera segura en un dispositivo, solo puede ser accedida mediante biometría o una clave segura. La clave pública, adaptada para el sitio específico, se envía para completar el proceso de registro.
WebAuthn elimina elegantemente el atractivo de piratear contraseñas desde bases de datos centralizadas. Con las passkeys almacenadas en dispositivos individuales, la tarea del hacker se transforma en una conquista por dispositivo en lugar de una violación centralizada.
Navegando las Olas de Registro y Autenticación
WebAuthn orquesta dos procesos clave: registro y autenticación. El flujo de registro implica la generación del par de claves y su asociación con la cuenta del usuario. Un mecanismo de desafío-respuesta garantiza la seguridad, con información de atestación que valida la clave pública.
La autenticación, la segunda fase, ve al cliente llamando al autenticador. Posteriormente, desbloqueando la clave pública mediante biometría o un pin. Y, por último devolviendo una afirmación al servidor. Esta afirmación, que contiene la firma y la identificación de credencial, completa el proceso de autenticación.
La sinergia de WebAuthn y FIDO2 inaugura una nueva era de autenticación segura y fácil de usar. Los autenticadores itinerantes, conectados por la especificación CTAP, añaden una capa de versatilidad, permitiendo una autenticación sin problemas en todos los dispositivos.
Vía Medium
