Todos necesitamos suplementos a veces. Ya sea un poco de vitamina C adicional durante la temporada de gripe o algo de vitamina D durante los días oscuros del invierno. Cuando se usa correctamente, los suplementos ayudan a que nuestro cuerpo se ajuste a las condiciones cambiantes que nos rodean. Del mismo modo, estamos aplicando este mismo concepto por primera vez a nuestro NIST SP 800-63B, pautas de identidad digital: autenticación y gestión del ciclo de vida. Hoy, publicamos un suplemento que brinda orientación provisional para las agencias que buscan utilizar «autenticadores sincronizables» (por ejemplo, Keeys) tanto en casos de uso orientados a la empresa como en el público. ¿Qué es un suplemento? Un suplemento es un tipo de documento específico que está destinado a mejorar, aumentar o elaborar en una publicación especial (SP) existente NIST. Permiten actualizaciones o modificaciones específicas sin tener que pasar por el proceso de actualización de todo el SP. Proporcionan un mecanismo para que NIST se adapte más rápidamente a los cambios en la tecnología y los entornos de riesgo (por ejemplo, proporcionando requisitos para nuevos tipos de autenticadores como autenticadores sincronizables). ¿Qué es un autenticador sincronizado? Un autenticador sincronizado es cualquier autenticador criptográfico que permita que la clave privada se clonice y almacene separadas del autenticador para admitir el uso de esa clave en diferentes dispositivos (por ejemplo, sincronización). En la práctica, estos son típicamente lo que se llama ‘passkeeys’ por la alianza FIDO y utilizan múltiples estándares y protocolos, como el protocolo del cliente a autor y la autenticación web del Consorcio World Wide (W3C) (WebAuthn). Cuando se implementan correctamente, proporcionan un autenticador resistente a phishing resistente a phishing con muchos beneficios, como recuperación simplificada, soporte de dispositivos cruzados y soporte de autenticación de plataforma amigable para el consumidor (por ejemplo, biometría nativa). Dichos autenticadores se habrían considerado no conformes en el contexto de las pautas de identidad digital, y el suplemento proporciona requisitos y consideraciones adicionales para permitir su uso en el nivel 2 de garantía de autenticación (AAL2). ¿Qué ha cambiado desde que se publicaron las pautas de identidad digital? Mucho ha cambiado. Los estándares y especificaciones para apoyar a los autenticadores sincronizables no se habían desarrollado cuando las directrices se desarrollaron y publicaron inicialmente. Desde entonces, los estándares han madurado y la mayoría de las plataformas de consumo importantes han implementado el soporte para autenticadores sincronizables. Hasta ahora, Fido Alliance estima que más de 8 mil millones* cuentas de usuario ahora tienen la opción de usar Keeys para la autenticación. Si bien aún no son omnipresentes, se están volviendo más comunes cada día. ¿No hay riesgos para la clonación de claves? Sí, siempre hay riesgos. Los requisitos en el suplemento están destinados a abordar la mayor cantidad posible de estos, incluidos los métodos para almacenar, transmitir y proteger las teclas. Existen riesgos únicos que vienen junto con los autenticadores sincronizables, específicamente la capacidad de algunas implementaciones técnicas para que los usuarios compartan su clave de autenticación con otras personas. La capacidad de compartir autenticadores no es exclusiva de las claves sincronizables: casi cualquier autenticador AAL2 se puede compartir. Pero al contrario de años de políticas de seguridad, algunas implementaciones promueven el intercambio de autenticadores sincronizables como una alternativa segura al intercambio de contraseñas en muchos escenarios de los consumidores. Al igual que con todas las instancias, las organizaciones deben evaluar todo tipo de autenticador que ofrecen y sopesar los beneficios y riesgos asociados con ellas antes de implementar. Los autenticadores sincronizables no serán apropiados para cada aplicación o servicio, pero representan una opción de autenticador AAL2 emergente con muchos beneficios tanto para el usuario final como para la parte confiable. ¿Habrá un período de comentarios públicos? No para este suplemento. Los comentarios del período inicial de comentarios públicos en SP 800-63-4 se incorporaron a este suplemento. Los comentarios adicionales sobre los autenticadores sincronizables y el contenido general del suplemento se pueden enviar a través del próximo segundo período de comentarios públicos para la revisión 4. Esto ocurrirá a finales de este año. ¿Por qué no esperar a que se complete la revisión 4? Como se señaló anteriormente, las agencias que siguen estrictamente el texto normativo de las pautas de identidad digital no podrían usar autenticadores sincronizables. Este suplemento aborda una necesidad inmediata de muchas agencias al proporcionar dirección sobre cómo utilizar una nueva tecnología de seguridad que proporcione una autenticación fuerte, utilizable y resistente a phishing en apoyo de la estrategia federal de confianza cero. Una vez que se finalice la revisión 4, este suplemento será rescindido. No dude en enviarnos un correo electrónico a través de Dig_comments [at] nist.gov (dig_comments[at]nist[dot]Gobierno). *Esta estadística fue proporcionada por FIDO Alliance y no implica que 8 mil millones de usuarios hayan optado por usar la función PassKey.