Todos necesitamos suplementos alguna vez. Ya sea un poco más de vitamina C durante la temporada de gripe o un poco de vitamina D durante los días oscuros del invierno. Cuando se usan correctamente, los suplementos ayudan a nuestro cuerpo a adaptarse a las condiciones cambiantes que nos rodean. De manera similar, estamos aplicando este mismo concepto por primera vez a nuestro NIST SP 800-63B, Directrices de identidad digital: autenticación y gestión del ciclo de vida. Hoy publicamos un suplemento que brinda orientación provisional para las agencias que buscan utilizar ‘autenticadores sincronizables’ (por ejemplo, claves de acceso) en casos de uso tanto empresariales como públicos. ¿Qué es un suplemento? Un suplemento es un tipo de documento específico cuyo objetivo es mejorar, aumentar o desarrollar una publicación especial (SP) del NIST existente. Permiten actualizaciones o modificaciones específicas sin tener que pasar por el proceso de actualización de todo el SP. Proporcionan un mecanismo para que NIST se adapte más rápidamente a los cambios en la tecnología y los entornos de riesgo (por ejemplo, proporcionando requisitos para nuevos tipos de autenticadores como autenticadores sincronizables). ¿Qué es un autenticador sincronizable? Un autenticador sincronizable es cualquier autenticador criptográfico que permite clonar y almacenar la clave privada por separado del autenticador para admitir el uso de esa clave en diferentes dispositivos (por ejemplo, sincronización). En la práctica, estas son típicamente lo que la Alianza FIDO llama «claves de acceso» y utilizan múltiples estándares y protocolos, como el Protocolo de Cliente a Autenticador y la Autenticación Web (WebAuthn) del Consorcio World Wide Web (W3C). Cuando se implementan correctamente, proporcionan un autenticador resistente al phishing con muchos beneficios, como recuperación simplificada, soporte entre dispositivos y soporte de autenticación de plataforma amigable para el consumidor (por ejemplo, biometría nativa). Dichos autenticadores se habrían considerado no conformes en el contexto de las Directrices de identidad digital, y el suplemento proporciona requisitos y consideraciones adicionales para permitir su uso en el Nivel de garantía de autenticación 2 (AAL2). ¿Qué ha cambiado desde que se publicaron las Directrices de identidad digital? Mucho ha cambiado. Los estándares y especificaciones para admitir autenticadores sincronizables no se habían desarrollado cuando se desarrollaron y publicaron inicialmente las Directrices. Desde entonces, los estándares han madurado y la mayoría de las principales plataformas de consumo han implementado soporte para autenticadores sincronizables. Hasta ahora, FIDO Alliance estima que más de 8 mil millones* de cuentas de usuario ahora tienen la opción de usar claves de acceso para la autenticación. Si bien aún no son omnipresentes, son cada día más comunes. ¿No existen riesgos al clonar claves? Sí, siempre hay riesgos. Los requisitos del suplemento pretenden abordar tantos de ellos como sea posible, incluidos los métodos para almacenar, transmitir y proteger las claves. Existen riesgos únicos que conllevan los autenticadores sincronizables, específicamente la capacidad de algunas implementaciones técnicas para que los usuarios compartan su clave de autenticación con otras personas. La capacidad de compartir autenticadores no es exclusiva de las claves sincronizables: se puede compartir casi cualquier autenticador AAL2. pero, a diferencia de años de políticas de seguridad, algunas implementaciones promueven el uso compartido de autenticadores sincronizables como una alternativa segura al uso compartido de contraseñas en muchos escenarios de consumidores. Como ocurre con todos los casos, las organizaciones deben evaluar cada tipo de autenticador que ofrecen y sopesar los beneficios y riesgos asociados con ellos antes de implementarlos. Los autenticadores sincronizables no serán apropiados para todas las aplicaciones o servicios, pero representan una opción emergente de autenticador AAL2 con muchos beneficios tanto para el usuario final como para la parte que confía. ¿Habrá un período de comentarios públicos? No para este suplemento. Los comentarios del período inicial de comentarios públicos sobre SP 800-63-4 se incorporaron a este suplemento. Se pueden enviar comentarios adicionales sobre autenticadores sincronizables y el contenido general del suplemento durante el próximo segundo período de comentarios públicos para la Revisión 4. Esto ocurrirá más adelante este año. ¿Por qué no esperar a que se complete la Revisión 4? Como se señaló anteriormente, las agencias que sigan estrictamente el texto normativo de las Directrices de identidad digital no podrán utilizar autenticadores sincronizables. Este suplemento aborda una necesidad inmediata de muchas agencias al brindar orientación sobre cómo utilizar una nueva tecnología de seguridad que proporciona una autenticación sólida, utilizable y resistente al phishing en apoyo de la estrategia Federal Zero Trust. Una vez finalizada la Revisión 4, este suplemento quedará rescindido. ¿Preguntas? No dude en enviarnos un correo electrónico a través de dig_comments [at] nist.gov (dig_comentarios[at]nist[dot]gobierno). *Esta estadística fue proporcionada por Fido Alliance y no implica que 8 mil millones de usuarios hayan optado por utilizar la función de clave de acceso.