¿Qué es el protocolo CTAP y por qué se utiliza?

Desde hace diez años, cualquier web que podamos adquirir, si accedemos a una red social, foro, etc. Siempre nos pide que iniciemos sesión con un nombre de usuario o correo electrónico, así como la correspondiente contraseña con la que daremos de alta la cuenta. El principal problema con el uso de este método de inicio de sesión es, .i. identificarnos en el sitio web, es muy fácil robar nuestros datos o encontrar nuestra contraseña de inicio de sesión. Esto suele ocurrir porque no está utilizando un Contraseñas seguras porque pueden ser más difíciles de recordar.

Debido a todas estas preocupaciones de seguridad, la Alianza FIDO y el Consorcio World Wide Web, mejor conocido como W3C, han desarrollado un sistema mucho más seguro y cómodo para enlazar a sitios web. Este desarrollo culminó con la creación de FIDO2 y WebAuthn de los que ya hemos hablado en Zona Redes, pero otro mecanismo igual o más importante que la mayoría de los usuarios desconocen es CTAP ( Protocolo de cliente a autenticador ).

¿Qué es CTAP?

Lo primero que debemos saber es que FIDO2 y WebAuthn son sistemas diseñados para reemplazar el sistema de contraseñas que utilizan todos los usuarios en la actualidad. Con FIDO2 y WebAuthn puedes utilizar datos biométricos para iniciar sesión, tienes un ejemplo sencillo en portátiles, móviles y otros dispositivos que llevan por ejemplo un lector de huellas integrado. Gracias a la huella digital, podemos hacer que nuestra contraseña sea la misma huella digital. Es muy importante no confundirlo con los sistemas actualmente en varios dispositivos, para que usted (administrador de contraseñas) pueda recordar la contraseña cuando necesite iniciar sesión. Este sistema no es FIDO2 o WebAuthn,

Otra opción, también utilizada cada vez más en las empresas, es un dispositivo que se conecta a nuestro ordenador como una llave USB, donde integra hardware internamente para autenticarse y tiene una conexión segura.

Visto este punto antes, queremos explicarte cómo funciona el CTAP. El CTAP en el caso anterior es el protocolo que controlaría la comunicación entre la llave USB y la señal de autenticación. Es decir, CTAP es el protocolo encargado de la comunicación segura entre las dos partes, para que primero se comuniquen, luego se autentiquen y tercero, que puedan iniciar sesión de una vez.

Versiones de CTAP

Después de ver qué es CTAP y cómo funciona, es importante saber que actualmente hay dos versiones completamente diferentes de CTAP que veremos a continuación:

• U2F (Universal 2 ^{Dakota del Norte} factores) : La primera versión del CTAP también fue creada precisamente la primera versión del protocolo y es más conocida por el nombre U2F que significa «Universal 2 ^{Dakota del Norte} factor”. Esta versión hace referencia a la autenticación de dos factores, o como muchos sabréis a ciencia cierta, la autenticación en dos pasos que tan de moda se ha puesto en los últimos años.
• CTAP2 : La segunda versión de CTAP creada es CTAP2. CTAP2 se usa con WebAuthn, y lo que hace es hacer que FIDO2 funcione. Es decir, mientras que WebAuth administra la conexión entre la computadora del usuario y el sitio web, el protocolo CTAP2 es responsable de la conexión entre la computadora del usuario y el sitio web mediante el autenticador. . Es decir, WebAuthn administra la conexión y CTAP2 administra la conexión del autenticador.

Cómo funciona el protocolo CTAP

Lo primero que debemos tener claro es que CTAP y WebAuthn deben trabajar juntos para hacer FIDO2.

Todos sabemos que podemos iniciar sesión en cualquier sitio web, aplicación en línea, etc. Este debe tener un sistema de autenticación para poder iniciar una sesión FIDO2, esto se hace a través de un dispositivo externo, por ejemplo, mencionamos anteriormente sobre una llave USB, que sería una señal, el usuario que posee este dispositivo y así poder identificarle en el sitio Web, aplicación, etc. Gracias al token evitamos tener que utilizar una contraseña que sería muy fácil de robar o averiguar.

Métodos de conexión del autenticador

Actualmente, existen varios métodos para poder conectar nuestro dispositivo de autenticación a nuestro equipo. Si bien lo más común hoy en día es usar un dispositivo que se conecta al puerto USB, porque fueron de los primeros en diseñarse, también podemos conectar el dispositivo que nos daría nuestra señal de inicio de sesión segura al iniciar sesión. NFC o Bluetooth.

Lo que se requiere para que nuestro dispositivo seguro de inicio de sesión funcione

Para que podamos usar un dispositivo para autenticarnos, necesitamos tener al menos un navegador web que sea compatible con los nuevos estándares CTAP, WebAuthn y FIDO2. Actualmente, si tenemos el navegador actualizado, Google Chrome y Mozilla Firefox son compatibles con FIDO2 en sus últimas versiones.

Otros tipos de autenticadores:

Como decíamos antes, los smartphones con huella dactilar, reconocimiento de revistas e incluso reconocimiento facial, podemos autenticarnos en diversos servicios. Estos métodos de autenticación, que están instalados en el hardware, no requieren ningún componente externo y, por lo tanto, no requieren un protocolo de comunicación separado para los dispositivos, como lo hace CTAP.

Cómo funciona la comunicación CTAP

La comunicación CTAP funciona de la siguiente manera:

• Al principio : conecta el navegador web a nuestro dispositivo de autenticación y solicita información.
• en segundo lugar : Una vez que te hayas comunicado con el dispositivo, este te envía información sobre el método de autenticación que puede ofrecer el navegador.
• En tercer lugar : dependiendo de la información que reciba el navegador, enviará un comando al autenticador, lo que puede provocar el inicio de una sesión o un error.

Después de ver cómo funciona la comunicación CTAP, podemos entender mejor cómo funcionan los sistemas que utilizan fabricantes como Apple. Debido a que el hardware de autenticación está integrado en el hardware físico del dispositivo, los datos de inicio de sesión, como nuestra huella digital o rostro, no salen del dispositivo .i. un navegador web solo envía la validez del enlace a través de WebAuthn, pero nunca verifica que la huella o la imagen de nuestro rostro sea auténtica, ya que este respalda al dispositivo al incorporarlo todo en un mismo contenido.

Se podría argumentar que el uso de CTAP, WebAuthn y FIDO2 puede eliminar los ataques de intermediarios para robar contraseñas y el phishing, ya que los usuarios no necesitan proporcionar una contraseña para iniciar la sesión.