En un mundo en el que tenemos que gestionar el acceso a decenas de cuentas en línea, las contraseñas están cada vez más lejos de ser la opción más adecuada. Reutilizar las mismas credenciales de inicio de sesión, fáciles de recordar en todas estas aplicaciones y sitios web es uno de los errores más comunes que cometemos. Esta brecha de seguridad facilita a los malintencionados adivinar o robar nuestros datos de acceso que, si son comunes en todas nuestras cuentas, podría hacer que todo nuestro mundo digital se venga abajo.
De hecho, es sorprendente que las contraseñas hayan durado tanto tiempo, esto se debe en gran parte a la falta de alternativas eficaces. Unas de las posibilidades existentes para acabar con este problema son las passkeys. Google acaba de anunciar la compatibilidad de esta nueva tecnología con las cuentas personales y de trabajo (al igual que Apple y Microsoft), así que puede que estemos muy cerca de una nueva era de inicios de sesión sin contraseña.
“Los intentos anteriores de mejorar o actualizar la experiencia y la seguridad de las contraseñas no han terminado de triunfar. Desarrollos como la autenticación de doble factor (2FA) contribuye significativamente a hacer más seguras las contraseñas, pero su adopción dista mucho de ser universal, ya que algunas personas consideran que el proceso de dos pasos es difícil de manejar. Además, los códigos de un solo uso enviados a los usuarios a través de mensajes de texto, que es con diferencia la variante más utilizada de 2FA, pueden ser interceptados” destaca Josep Albors, director de Investigación y Concienciación de ESET España.
Los gestores de contraseñas, por su parte, hacen un gran trabajo generando, almacenando y recordando una contraseña larga, compleja y única para cada sitio individual. Pero no siempre cubren todos los dispositivos, sistemas operativos y navegadores web, y es complicado gestionar la pérdida de la contraseña maestra. En algunos casos, la experiencia del usuario también puede ser un poco complicada.
Las passkeys, por su parte, son un estándar del sector que los grandes nombres de la tecnología esperan que algún día sustituya a las contraseñas, la 2FA y la necesidad de gestión de contraseñas tal y como la conocemos hoy en día.
¿Cómo funcionan las passkeys?
Las passkeys aprovechan el poder de la criptografía de clave pública. Esta opción consiste en un par de claves criptográficas -una privada y otra pública- que se generan para proteger tu cuenta en un sitio web, una aplicación u otro servicio en línea. La clave privada se almacena en el dispositivo como una larga cadena de caracteres cifrados, mientras que la clave pública se carga en los servidores del servicio en línea correspondientes, por ejemplo, Google o incluso el sistema de gestión de contraseñas iCloud keychain de Apple.
Al iniciar sesión en tu cuenta de Google desde el smartphone, Google genera una clave de acceso directamente. A continuación, cuando intentes acceder, se pide que autentiques con tu PIN, huella dactilar u otro mecanismo de bloqueo de pantalla del dispositivo. No hay necesidad de introducir o recordar ninguna contraseña, lo que inmediatamente hace que el proceso sea más seguro y fácil de usar. En el intento de inicio de sesión, el servidor envía un desafío criptográfico al dispositivo, pidiendo a la clave privada que lo resuelva y lo transmita de vuelta al servidor. Esta respuesta se utiliza para verificar que los pares de claves pública y privada coinciden, ya que ambos son necesarios para autenticarse.
En ningún momento los datos biométricos salen del dispositivo, ni el servidor sabe cuál es la clave privada. De hecho, el usuario tampoco verá nunca la clave privada, ya que todo el mecanismo ocurre en segundo plano y sin exigir a penas esfuerzo
¿Cuáles son las ventajas de las claves de acceso?
La pregunta que surge es si entonces, ¿podrían las passkeys ser el «Santo Grial» de la facilidad de uso y la seguridad? A continuación, destacamos de manera detallada las ventajas de las estas.
- Resistentes a la suplantación de identidad y a la ingeniería social: Eliminan el problema de las personas que accidentalmente revelan sus credenciales de acceso a los ciberdelincuentes introduciéndolas en sitios web falsos. En su lugar, piden al usuario utilizar su dispositivo para demostrar que es el verdadero propietario de la cuenta.
- Evitan las consecuencias de una brecha de terceros: Si un sitio web o un proveedor de aplicaciones sufre una brecha, sólo podrían robar las claves públicas ya que las claves privadas nunca se comparten con el servicio en línea, y no hay forma de averiguarla a partir de la clave pública.
- Evita los ataques de fuerza bruta: Las claves de acceso se basan en la criptografía de clave pública, lo que significa que los atacantes no pueden adivinarlas ni utilizar técnicas de fuerza bruta para descifrar cuentas.
- Sin interceptación 2FA: Con las passkeys no hay un segundo factor, por lo que los usuarios no corren el riesgo de sufrir técnicas de ataque diseñadas para interceptar códigos SMS y similares. Estas son lo suficientemente potentes como para sustituir incluso al 2FA, las claves de seguridad por hardware.
- Se basan en los estándares del sector: Se basan en los estándares de los grupos de trabajo FIDO Alliance y W3C WebAuthn, lo que significa que deberían funcionar en todos los sistemas operativos, navegadores, sitios web, aplicaciones y ecosistemas móviles participantes. Apple, Google y Microsoft son compatibles con esta tecnología, al igual que las principales empresas de gestión de contraseñas, como 1Password y Dashlane, y plataformas como WordPress, PayPal, eBay y Shopify.
- Fáciles de recuperar: Pueden almacenarse en la nube y, por tanto, restaurarse en un nuevo dispositivo si se pierde.
- No hay nada que recordar: Para los usuarios, ya no hay necesidad de crear, recordar y proteger grandes volúmenes de contraseñas.
- Funcionan en varios dispositivos: Una vez creada, una clave de acceso puede utilizarse en nuevos dispositivos sin necesidad de volver a registrarse cada vez, como ocurre con la autenticación biométrica habitual. Sin embargo, hay algunas advertencias que se detallan a continuación.
Desventajas de las passkeys
Existen algunos obstáculos que, en última instancia, impiden que por el momento las passkeys se adopten de manera masiva. El mayor inconveniente es la adopción por parte de la industria y la forma en que se sincronizan las passkeys.
Las passkeys sólo se sincronizan con dispositivos que ejecuten el mismo sistema operativo, ya que como se detallaba anteriormente, este tipo de claves se sincronizan por plataforma de sistema operativo. Eso significa que si se tiene un dispositivo iOS, pero también se usa Windows, por ejemplo, podría ser una experiencia un tanto frustrante, ya que se tendrían que escanear códigos QR y activar el Bluetooth para que las passkeys funcionaran en dispositivos con sistemas operativos diferentes. Esto hace que en realidad el proceso sea más complicado que la experiencia actual con las contraseñas.
En el momento actual, la adopción de este proceso de seguridad dista mucho de ser generalizada. Aunque algunas grandes empresas ya se han subido al carro, aún es pronto para hablar de un uso masivo. Aparte de las grandes plataformas, se estima que todavía pasará algún tiempo antes de que la mayoría de sitios web y aplicaciones sean compatibles. Si quieres comprobar si tus plataformas favoritas son compatibles con esta tecnología puedes hacerlo aquí.
¿Podría ser éste el principio del fin de las contraseñas? Las claves de acceso son el competidor más fuerte hasta la fecha, pero para conseguir una aceptación casi universal entre los usuarios es posible que los proveedores de tecnología tengan que facilitar aún más su uso en distintos ecosistemas de sistemas operativos.
Phil Muncaster Consulta el post en inglés aquí.