Imaginas un futuro en el que, a la hora de iniciar sesión en una página web o aplicación, baste con desbloquear nuestro móvil a través de un método biométrico, como un lector de huellas o un sistema de reconocimiento facial, para identificarnos y acceder a nuestra cuenta, sin necesidad de introducir una contraseña.
Es ahí donde entran en juego las passkeys: los datos de acceso son almacenados en una clave cifrada, que nuestro móvil o PC utilizará a la hora de intentar iniciar sesión en una app o página web. Para ello, el usuario deberá aprobar el uso de la clave desbloqueando el móvil usando un método seguro, como la detección de huella dactilar, reconocimiento facial o PIN.
Por tanto, siempre que se desee iniciar sesión en una web o app protegida por passkey, habrá que utilizar un dispositivo propio como método de verificación. Esto, por otro lado, hace que los sistemas de autenticación en dos factores dejen de ser tan necesarios como lo son hoy en día. Claro que, también añade una capa de dificultad a la hora de intentar iniciar sesión en una de nuestras cuentas protegidas por passkeys desde el dispositivo de un familiar o amigo en caso de no tener un dispositivo propio a mano.
No obstante, existe una solución que puede salvarnos en este tipo de situaciones: al intentar iniciar sesión en una web o app protegida por passkey en un dispositivo ajeno, será posible escanear un código QR con la cámara de nuestro móvil. Al conectar ambos dispositivos a través de Bluetooth para asegurar que ambos se encuentran cerca y usar un método de desbloqueo seguro en el móvil, se realizará la conexión que permitirá llevar a cabo el proceso de autenticación.
Passkeys es la tecnología con la que tanto Apple como Google, así como otras compañías participantes de la alianza FIDO, tienen intención de reemplazar las clásicas claves como sistema de inicio de sesión en nuestras cuentas de Internet. El proceso no será fácil, pero no hay duda alguna de que ambas compañías tienen unas bases más que sólidas para cumplir su objetivo de acabar de una vez por todas con un método de verificación tan anticuado e inseguro como las contraseñas.
Dado que este sistema de identificación se está acercando, y ya no hay vuelta atrás, hemos querido poner respuesta a las preguntas y dudas más repetidas sobre las passkeys, con el fin de entender cómo la llegada de esta tecnología puede suponer el fin de las contraseñas tal y como hoy las conocemos.
Hace un mes, Google lanzó el soporte de clave de paso para las cuentas de Google de los consumidores. Hoy, está extendiendo esto a los usuarios empresariales, con el lanzamiento beta abierto de claves de paso para cuentas de Google Workspace y Cloud.
Como casi todas las demás grandes empresas de tecnología, Google ha estado librando una guerra contra las contraseñas durante años. La promesa de las claves de paso es que son más seguras que las contraseñas y la autenticación multifactor porque en lugar de usar un código de autenticación de una aplicación o SMS, los usuarios de PassKey pueden simplemente usar sus teléfonos, computadoras de escritorio o portátiles para iniciar sesión en sitios web y aplicaciones con los mismos inicios de sesión que ya usan para sus dispositivos, ya sea un inicio de sesión biométrico o un código PIN. Dado que los usuarios necesitan tener acceso físico a estos dispositivos, también es menos probable que un adversario pueda acceder a ellos accidentalmente.
Las claves de paso, como las claves de seguridad físicas, también tienen la ventaja de ser resistentes al phishing y, de hecho, los protocolos criptográficos subyacentes a la tecnología no son tan diferentes de los de las claves de seguridad físicas.
La propia investigación de Google ha demostrado que el uso de claves de acceso es dos veces más rápido y cuatro veces menos propenso a errores que las contraseñas (no es de extrañar). “Durante la última década, Google ha estado a la vanguardia de la batalla contra el phishing y las amenazas relacionadas con contraseñas, incluso con nuestras defensas automatizadas impulsadas por Google AI”, escribieron el gerente de producto de Google Workspace, Jeroen Kemperman, y el gerente de ingeniería de Workspace, Shruti Kulkarni, en el anuncio de hoy.
“Defendimos el desarrollo de claves de seguridad física y su estandarización bajo la Alianza FIDO. Como generalmente una alternativa más simple y segura a las contraseñas, las claves de paso representan la culminación de este trabajo para llevar la tecnología resistente al phishing a miles de millones de personas en todo el mundo”.
Como es típico para estos lanzamientos de Workspace, Google está implementando esta nueva función lentamente. En el transcurso de las próximas semanas, los administradores tendrán la capacidad de habilitar claves de paso para sus usuarios y omitir contraseñas al iniciar sesión.
REFERENCIAS
Collado, Christian, Passkeys: qué son y por qué su llegada significará el fin de las contraseñas, Ed. Tecnología, lavanguardia.com, 2022
Lardinois, Frederic, Google Workspace and Cloud get support for passkeys, TechCrunch, junio, 2023.
