Llega WebAuthn, el nuevo estándar para sustituir las contraseñas de las webs por tu huella dactilar

Las contraseñas se pueden cambiar, las huellas dactilares o el iris... no.

Por eso @mernelex tiene razón, lo biometrico ha de ser el usuario, nunca la contraseña por seguridad.

Aplicatelo a ti, que no se te ve muy sabio.

Gracias, me sentía una voz clamando en medio del desierto. Pero creo que tienes razón, por mucho que le demuestre que está equivocado, siempre hay un pero al que agarrarse para seguir criticando sin sentido en vez de asumir que no lo entiende y al menos buscar un poco más de información.

No puedo hablar por los demás, pero personalmente, no uso facebook, ni twitter, ni snapchat, ni instagram, ni ninguna red social. De todo lo que mencionas solo uso Youtube, y sin loguearme. Por no usar, no uso whatsapp, ni telegram, ni ningún sistema de mensajería instantanea. Aunque para ser sinceros, hace unos años usaba whatsapp, hasta que lo compró facebook e inmediatamente borré mi cuenta.
Y es que desprecio las redes sociales y el control que tratan de ejercer sobre internet.
Me gustaba más el internet previo a las redes sociales, el internet indomable, de foros, chats y bbs, en el que nadie sabía quien eras y lo mejor es que a nadie le importaba; tu hablabas con nicks y no con personas; lo que te liberaba de la mayoría de los prejuicios a la hora de iniciar una conversación. Y por culpa de las RRSS la belleza de eso se ha perdido.

Por eso estoy en contra de la seguridad biométrica, porque servirá para estrechar todavía más el cerco alrededor de nuestros cuellos; y antes de darnos cuenta acabaremos en un internet en el que todo lo que hagamos esté ligado a nuestros nombres y apelidos, y estaremos vigilados constantemente, con una especie de carnet por puntos. Haría alguna referencia a la película 1984, pero creo que es mejor dejar de lado la ficción y mirar directamente a la realidad, dando como ejemplo lo que está ocurriendo hoy en día en china; pais en el que si escribes en internet algo que no guste al partido, al dia siguiente no puedes comprar billetes de tren porque tu puntuación ciudadana ha bajado.

A lo mejor peco de catastrofista, pero el ser humano jamas me ha fallado a la hora de encontrar horrores cada vez mayores.

Una cosa es que te puedan identificar los gobiernos, las grandes empresas y basicamente cualquier organización medianamente poderosa; y otra cosa es usar RRSS como la mayoría de la gente y servir mis datos en bandeja para que cualquier mequetrefe los use en mi contra.
Seguro que google sabe quien soy y lo que hago, pese a estar usando extensiones de navegador especificamente diseñadas para desactivar el seguimiento y la publicidad, ¿pero acaso tu sabes lo que hago con mi vida más allá de comentar en xataka?, pues con eso me basta.

Soy consciente de que estar "fuera del sistema" es imposible hoy en día; pero usando internet con un poco de cabeza puedes mantener aislada tu identidad en la red de tu identidad en el mundo real; y eso acarrea muchas ventajas, o en todo caso evita muchos problemas.

Y del mismo modo que le he dicho a @rhuancarlos;
Con mis comentarios no me estoy centrando en este caso concreto (que parece bastante bien implementado), sino ante la identificación biométrica como conjunto.
Podría ponerte más ejemplos en los que la biométrica acaba actuando en contra del usuario, pero parece que no les das importancia; asi que, en lineas generales, te pido que te quedes con estas idea general de lo que quiero expresar:
-La seguridad biométrica trae tanto ventajas como inconvenientes; pero una generalización de su uso a escala global acarrearía problemas de seguridad y privacidad graves, e incluso en algunos casos podría volverse en contra del usuario de a pie.

Cierto y falso, en un mundo ideal eso sería siempre cierto, pero si la historia reciente nos ha demostrado que siempre ha habido implementaciones de seguridad informática pobres; no veo por que la seguridad biometrica tendría que ser la única excepción. Asi que ten por seguro que si se generaliza el uso de biométrica, habrá robos de huellas.
Y ya si nos fijamos en otros vectores de ataque pues ya ni te cuento; desde malware específico instalado en tu smartphone que mande a vete tu a saber donde todo lo escaneado en el lector, y sin necesidad de eso, se han podido obtener huellas dactilares a partir de fotografías colgadas en redes sociales; se ha conseguido identificar personas aleatorias de la calle fotografiandolas y usando busqueda inversa en RRSS (y no hablo de gobiernos haciendolo con sus medios, sino de hackers que viven en el sótano de sus padres y usando la red VK); un smartphone robado o perdido tiene una altísima posibilidad de tener tus huellas marcadas por toda su superficie y una tonelada de información personal en su interior, etc, etc.
Entiendo tu postura, pero creer que los sistemas de seguridad que tenemos ahora son infalibles es pecar de ingenuo, o en todo caso de optimista.

Pero vamos a ver, este artículo habla sobre un estándar, estándar creado justamente para que no se haga de cualquier modo y evitar implementaciones inseguras. Además, está el hecho de que las apps no tienen acceso directo al lector, ni a los datos de la huella y ni siquiera al token generado por la huella, es simplemente el sistema el que dice si se ha validado o no. Lo único que hace la app es solicitar la validación de huella al sistema.

Sobre lo de que van a hackear hasta el lector pues bueno, si han llegado a ese punto, todo lo que tengas en el móvil es inseguro, ya no tiene que ver con el sistema de autenticación.

Por cierto, tampoco sirve tener la huella sin tener acceso al teléfono dado que el token generado por el lector y que se usa para validar la huella, se guarda en el móvil. En ningún momento la huella está relacionada con la cuenta en la que inicias sesión, por muy raro que suene.

Estamos hablando de cosas distintas. Tu estás centrandote en este caso específico y yo estoy hablando desde un punto de vista mas generalizado.
Es decir, a lo mejor esta implementación biométrica en concreto ofrece una seguridad aceptable (salvo el problema inevitable de la imposibilidad del cambio de contraseña). Pero mirando más allá; osea, en un escenario en el que la identificación biométrica se convierta en algo de uso general y cotidiano (cuyos primeros pasos son iniciativas como el estándar del que se habla en esta noticia), tendremos que hacer frente a todos los problemas que se han descrito en los comentarios (y no solo en los mios) y muchos más que surgirán a medida que su uso se extienda.

Si no hablas sobre este estándar, ¿para qué comentas en este artículo? Solo estás asustando a la gente haciendo que se retrase el uso de esta tecnología que es segura y que no entiendes.

Y vuelvo a repetir porque parece que no entiendes. La huella no está relacionada con la cuenta, no es un sustituto de la contraseña, la contraseña sigue siendo necesaria para iniciar sesión hasta que des el permiso a la app para iniciar con la huella, cosa que solo puedes hacer después de proporcionar la contraseña. Y aunque guardes la misma huella en otro teléfono, tampoco sirve para identificarte hasta que inicies sesión con la contraseña y permitas desbloquear con huella.

Por eso, aunque te roben la huella, no podrán hacer nada sin tu móvil. Y si tanto te preocupa que te lo roben, lo que puedes hacer es usar un patrón/pin/contraseña en vez de la huella para el desbloqueo del móvil, asi no tienen acceso a las apps con identificación por huella.

¿Me preguntas para que comento este artículo? por dos motivos:
1º Porque este artículo está directamente realcionado con la identificación biométrica y me parece interesante exponer y debatir sus peligros.
2º Porque me da la gana, faltaría más, mientras no haga spam ni falte al respeto, puedo comentar donde quiera, de eso va internet.

Volviendo al tema, entiendo como funciona este estándar, y aún con toda la seguridad que tiene y que tanto alabas, tu mismo acabas de delatar uno de sus fallos más graves cuando has dicho que ante un robo de smartphone, es más seguro usar un pin/patron/contraseña que desbloqueo por huella. Estás admitiendo indirectamente que hay un problema gordo con la seguridad biométrica. Y es que dejar tus huellas por ahí es como dejar tu contraseña, o en todo caso, dejar una credencial que te permite saltarte tu contraseña para ciertos servicios. Y eso es algo inseguro por definición; asi que por muchas capas de seguridad que añadan, siempre hay un grado de inseguridad porque en cierto modo estas exponiendo al mundo tus credenciales biométricas a diario.

Vale, vamos a abordarlo de otra forma.

¿Consideras un fallo grave de seguridad que Amazon, Facebook, Whatsapp, Wallapop, Twitter, Youtube, Snapchat, o prácticamente cualquier app/web mantengan la sesión iniciada? Lo digo porque si te roban el móvil, la huella es el último de tus problemas en esas apps. Ese montón de apps y webs con la sesión iniciada no requieren identificación alguna. Y en el caso de Amazon, por ejemplo, puedo comprar cualquier cosa sin identificarme ni confirmar datos.

Parece que solo piensas en apps de bancos cuando éstas ya hace tiempo que tienen el sistema de identificación por huella y de momento no ha pasado nada grave. Y si te roban el móvil y consiguen entrar en la app del banco, aún así no podrán hacer gran cosa dado que para hacer transferencias y envíos de dinero se necesita la tarjeta de coordenadas para validar la operación. Y bueno, te recuerdo que esto es totalmente opcional, si no te fías, no uses la huella en la app del banco, así de simple. Y si quieres usarla, o pones pin/patrón/contraseña para desbloquear el móvil o directamente lo pones para desbloquear solo la app que quieras.

Lo que no entiendo, son tus ganas de criticar un sistema de identificación que no tiene nada que ver con el uso que se le va a dar. Por ejemplo, ¿no sería genial poder iniciar sesión en todas las webs de Weblogs solo usando la huella en vez de tener que escribir correo y contraseña decenas de veces? ¿De verdad esto te parece inseguro? No olvides que eres tu el que elige dónde usar la huella y dónde no y que ninguna web tendrá jamás los datos de tu huella, ni siquiera el teléfono los tiene, como ya te he dicho.

Y tranquilo, puedes comentar lo que quieras, en ningún momento he dicho lo contrario. Mi problema es el contenido de tu comentario, que es en gran parte falso, y que quieras convencer a la gente de no usar algo que no entiendes bien.

Me preguntas si me parece un fallo de seguridad que ciertas apps o servicios te mantengan la sesión abierta. Y me respuesta es "hasta cierto punto si". Para mi, el modo de funcionamiento ideal sería que no mantuviesen mi sesión, o en todo caso que la mantuviesen si yo les digo que lo hagan pero que en el momento que quisiese hacer alguna operación, me pidiesen un password.
Aplicado a este estandar podría ser, por ejemplo, entrar en amazon y que sea como invitado; entonces al escanear la huella pasas a estar logueado hasta que hagas una operacion "sensible" (pagar, gestionar metodos de pago, cambiar direcciones, etc) momento en el que tendría que pedirte un password (de hecho algunas webs ya fuincionan así).

En cuanto a lo de las elecciones personales, está claro que ni tu, ni yo, ni nadie que sepa un poquillo de seguridad informática va a tener problemas a la hora de gestionar su seguridad online. Pero el problema está en que internet está compuesto basicamente de cafres que no tienen ni idea de nada y de delincuentes que se aprovecharán de ellos.

No justifico nada, solo estoy explicando como funciona la tecnología para que veáis que muchos de los miedos que tenéis provienen de no saber cómo funciona. No es ni será obligatorio usar una huella para iniciar sesión y el usuario y contraseña seguirán siendo necesarios para identicarte, aunque uses la huella. Si no quieres usar tu huella, no la uses, punto. No hace falta intentar boicotear un estándar solo porque no te gusta. Ademàs, actualmente ya tenemos este tipo de sistema de identificación, yo lo uso a diario en varias apps. Este estándar solo facilia el uso de la tecnología a los desarrolladores.

también lo hace si sabe tu contraseña... el tema es la regla de 3- Algo que se - Algo que soy - Algo que tengo. Cualquiera por si sola es débil pero usar los 3 siempre es muy pesado.

super guay

Edito:
Era un comentario irónico. Tienes tanta idea de como funciona el tema de la huella dactilar como Trump del cambio climático.

Exacto... no te habia leido antes de contar lo mismo.

No,

La huella dactilar solo la conoce tu móvil, no es un dato que se facilite ni sirva por si solo para acceder a tu cuenta de facebook. En el proceso de autenticación en una red social se establece un protocolo de comunicación entre "facebook" y tu móvil y se intercanvian "hashs" (códigos, contraseñas, claves numéricas) únicamente.
Cuando tu pones tu huella en el lector para entrar a facebook, lo que hace tu móvil es generar un código o no en función de si la huella que has puesto en el lector estaba grabada previamente registrada por el lector y luego lo envia a facebook para permitir el acceso.

Así a grosso modo y resumiendo: aunque actives la función biométrica para acceder a facebook en tu móvil, si intentas acceder a tu cuenta desde el móvil de tu amigo poniendo tu huella no va a funcionar.

Pues que esto no depende de Apple ni de iCloud. Es un estándar válido para cualquiera.

¿Has leído el artículo? Se diferencia en que esto es un estándar, no un software propietario de Apple. Lo pone en la segunda frase del artículo.

Hasta ahora no he visto ningún sistema de identificación biométrico que asocie tu huella a una cuenta. Lo que hacen todos los que he usado es pedir permiso para desbloquear tu cuenta con la huella ya guardada en el dispositivo. Por ejemplo, al entrar en la app del banco, me pidió que confirmara poder iniciar sesión con la huella, pero en ningún momento se la dí, y si quiero entrar en mi cuenta desde otro dispositivo, no puedo usar mi huella. La huella siempre se guarda en el dispositivo. Por mucho que te la roben, o te roban el móvil también, o no sirve de nada.

Tal como dice davidrel y muchos comentarios anteriores la huella es menos seguro como contraseña. En tu ejemplo, si te pillo tu móvil, tengo más fácil de acceder a tu banco mediante huella que mediante contraseña. Tu huella, tal como dice david, la has dejado por todas partes. Mediante técnicas al alcance de muchos, se puede reproducir tu huella. En cambio, intentar saber tu contraseña exige métodos de coacción donde puede llevar a violencia y/o delito, y por supuesto, tu conocimiento que ha sido robada. (hablando en términos generales, siempre hay excepciones)

La huella no sustituye la contraseña, al menos no hasta que entres con usuario + contraseña y des permiso para entrar con la huella que solo sirve en ese teléfono. Si te parece inseguro porque te pueden robar el móvil, simplemente utiliza una contraseña/patrón/pin para el desbloqueo del móvil. Así no podrán acceder a las apps con identificación por huella. Eso lo yo que hago, por eso no podrás entrar en mi cuenta bancaria aunque me robes el móvil y la huella.

No tiene sentido lo que dices, sería muy poco seguro usar la huella como método de identificación único y no sería muy útil. Los principales servicios de internet ya te conocen, te rastrean y pueden identificarte sin necesidad de huella. Ni siquiera es necesario iniciar sesión para que lo hagan.

Vuelvo a repetir ya que lo has ignorado: no tiene sentido porque no es seguro. Este es el principal argumento, no lo ignores.

"Te conocen si usas algo (hard o soft) donde te tengan registrado, si cambias esos elementos no te conocen, y hay muchas formas de hacerlo."

Con la huella pasa lo mismo. El token de la huella es único en cada dispositivo, no pueden relacionar tu huella en un dispositivo con la del otro.

"Si por contra, llega el día donde exijan huella, entonces sí te podrían tener pillado siempre." ¿Exigir? ¿Quién? Si es la app, ni siquiera tiene el poder de acceder al lector de huellas, si es el sistema operativo, deja de usarlo. Nunca dejarán de existir alternativas libres. Da la gracias a que Android sea open source.