WebAuthn
¿Qué es WebAuthn?
WebAuthnAPI JavaScript estándar del W3C que permite a las aplicaciones web registrar y autenticar usuarios mediante credenciales de clave pública en autenticadores de plataforma o externos.
Web Authentication (WebAuthn) es la mitad orientada al navegador de FIDO2. Expone dos métodos, navigator.credentials.create() y navigator.credentials.get(), que permiten al servicio generar un par de claves en el autenticador del usuario y, posteriormente, solicitar una aserción (un desafío firmado) para verificar la posesión. El estándar admite autenticadores de plataforma (Touch ID, Windows Hello, Android), externos (llaves USB, NFC y Bluetooth) y passkeys sincronizadas. Como la firma se vincula al origen del servicio, WebAuthn resiste el phishing, los ataques MITM y la reutilización de credenciales. Su adopción es amplia en navegadores y proveedores de identidad, y constituye la base de la MFA sin contraseña y resistente al phishing en la web.
● Ejemplos
- 01
La página de inicio de sesión de un banco llama a navigator.credentials.get() para autenticar a un cliente con su passkey.
- 02
Registrar una llave de seguridad en la consola de un desarrollador mediante el flujo de registro de WebAuthn.
● Preguntas frecuentes
¿Qué es WebAuthn?
API JavaScript estándar del W3C que permite a las aplicaciones web registrar y autenticar usuarios mediante credenciales de clave pública en autenticadores de plataforma o externos. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa WebAuthn?
API JavaScript estándar del W3C que permite a las aplicaciones web registrar y autenticar usuarios mediante credenciales de clave pública en autenticadores de plataforma o externos.
¿Cómo defenderse de WebAuthn?
Las defensas contra WebAuthn combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para WebAuthn?
Nombres alternativos comunes: Web Authentication.