Protocolos de Autenticación Modernos: De OAuth 2.0 a Passkeys
In la era digital, "¿Quién eres?" y "¿Qué tienes permitido hacer?" son dos de las preguntas más críticas que un sistema debe responder. La Autenticación (AuthN) y la Autorización (AuthZ) son los pilares de la seguridad. Esta guía explora los protocolos modernos que gestionan estos procesos.
1. Identidad Federada y Autorización
OAuth 2.0 (Autorización)
OAuth 2.0 es el protocolo estándar de la industria para la autorización. Permite que un sitio web o aplicación acceda a recursos alojados por otros servicios web en nombre de un usuario (por ejemplo, "Iniciar sesión con Google").
- Bearer Token: El tipo más común de token de acceso utilizado en OAuth 2.0. Si tienes el token, tienes acceso.
- API Key: Una forma más simple de autenticación, a menudo utilizada para la comunicación de máquina a máquina.
OpenID Connect (OIDC)
Construido sobre OAuth 2.0, OIDC añade una capa de identidad. Mientras que OAuth trata sobre acceso, OIDC trata sobre identidad. Permite a los clientes verificar la identidad del usuario final basándose en la autenticación realizada por un Servidor de Autorización.
SAML (Security Assertion Markup Language)
Un estándar basado en XML utilizado principalmente en entornos empresariales para el Inicio de Sesión Único (SSO). Permite a los proveedores de identidad (IdP) pasar credenciales de autorización a los proveedores de servicios (SP).
2. Servicios de Directorio Empresariales y Heredados
LDAP (Lightweight Directory Access Protocol)
Un protocolo maduro utilizado para acceder y mantener servicios de información de directorio distribuidos. Es la columna vertebral de muchas bases de datos de empleados corporativos.
Kerberos
Un protocolo de autenticación de red diseñado para proporcionar una autenticación sólida para aplicaciones cliente/servidor mediante el uso de criptografía de clave secreta. Es el método de autenticación por defecto en Windows Active Directory.
3. Autenticación de Múltiples Factores (MFA)
OTP (One-Time Password)
- HOTP: Contraseña de un solo uso basada en HMAC (basada en eventos).
- TOTP: Contraseña de un solo uso basada en el tiempo (utilizada por aplicaciones como Google Authenticator).
4. El Futuro sin Contraseña: FIDO y WebAuthn
FIDO2 y WebAuthn
La Alianza FIDO creó estos estándares para reemplazar las contraseñas con criptografía de clave pública segura. WebAuthn es la API del navegador que permite esto.
Passkeys
Las Passkeys son una implementación específica de los estándares FIDO que permiten a los usuarios iniciar sesión en sitios web y aplicaciones utilizando la misma biometría o PIN que usan para desbloquear sus dispositivos (FaceID, huella dactilar). Se sincronizan entre dispositivos a través de la nube (Apple iCloud, Gestor de contraseñas de Google).
U2F (Universal 2nd Factor)
Un estándar FIDO más antiguo, que normalmente requiere una llave de seguridad física (como una YubiKey) como segundo factor.
Resumen Comparativo
| Protocolo | Tipo | Caso de Uso Principal | Formato |
|---|---|---|---|
| OAuth 2.0 | Autorización | Acceso a API, integración de terceros | JSON / JWT |
| OIDC | Identidad | Botones "Iniciar sesión con..." | JWT (ID Token) |
| SAML | Identidad/SSO | Inicio de sesión corporativo | XML |
| WebAuthn | Autenticación | Sin contraseña / Passkeys | Cripto de Clave Pública |
| LDAP | Directorio | Gestión de usuarios corporativos | Binario |
Conclusión
El cambio de las contraseñas a Passkeys y OIDC está haciendo que internet sea más seguro y fácil de usar. Mientras que OAuth 2.0 sigue siendo el rey de la autorización de APIs, el futuro del inicio de sesión de usuario es, sin duda, respaldado por hardware y sin contraseñas. Comprender estos protocolos es esencial para cualquier desarrollador que cree aplicaciones seguras hoy en día.