Hace más de dos años vimos la llegada de las passkeys con una promesa clara: resolver un problema tan antiguo como es la inseguridad y la molestia de las contraseñas.
Dos años después de que empezase su despliegue, esa promesa sigue incumplida. Lo remarca Ars Technica en un estupendo análisis que prolonga lo que llevamos tiempo contando.
La tecnología en la que se basan es bastante convincente sobre el papel. Usa criptografía de clave pública-privada para autenticar usuarios. Además, una passkey no puede ser robado y es inmune al phishing. El proceso debía ser tan simple como desbloquear un móvil con la huella. Debería ser el futuro.
Pero la implementación es un desastre.
Apple, Google y Microsoft han convertido lo que debería ser un estándar simple en una batalla por el control del usuario. Cada plataforma empuja hacia su propia solución de sincronización. Las interfaces son inconsistentes. La portabilidad entre plataformas es muy complicada. Y los diálogos de la configuración son confusos y repetitivos.
Un usuario de Windows que configure una passkey en Chrome jamás podrá usarla en su iPhone. Alguien que use Firefox en un Mac verá que su passkey está atado a ese navegador concreto. La solución oficial –escanear códigos QR entre dispositivos– es engorrosa y no del todo confiable.
Y la idea con Passkeys era trascender a las contraseñas, pero de momento solo son una alternativa que convive con ellas. Un extra, no un reemplazo. Los métodos de respaldo siguen siendo menos seguros (un SMS, un correo) y por lo tanto sigue habiendo opciones más vulnerables si alguien quiere atacarnos.
Algunos gestores de contraseñas ya ofrecen una solución parcial gracias a que sincronizan passkeys entre plataformas, pero nuevamente, esto nos encadena aún más a las contraseñas. Y pocos usuarios usan un gestor.
Las passkeys siguen siendo una buena apuesta para un futuro sin contraseñas, pero mientras las grandes tecnológicas sigan anteponiendo su competitividad que se traduce en jardines amurallados, no llegará una experiencia de usuario coherente y simple que convenza de verdad. Tecnológicamente es posible, pero requiere de una voluntad real para implementarla.
Mientras tanto, sigo anteponiendo contraseñas tradicionales, distintas para cada sitio, almacenadas en un gestor y con la autenticación en dos pasos activada allá donde esté disponible. Es lo más práctico. Al menos de momento.
Imagen destacada | Google, Xataka
En Xataka | Los mejores generadores de contraseñas gratis, seguros y fáciles de usar
Ver 9 comentarios
9 comentarios
Mr.Floppy
Luego en las pelis futuristas te ponen todo conectado entre sí, super sencillo... haces un gesto y se envía de uno a otro... 😅 Cuándo en realidad sería, pero qué sistema operativo usas? Y así con todo 🙄
moderntimes
Hay un invento nuevo, a salvo de hackers: se llama papel.
castarco
La mayoría de llaves criptográficas físicas (tipo Yubikey) son compatibles con el sistema de las passkeys (al menos las que se venden a día de hoy, no sabría decir si es el caso para yubikeys antiguas).
Y son una maravilla, la experiencia es exactamente la que se prometió (salvo un por par de diálogos rarunos de algunos navegadores que me quieren empujar a usar _sus_ passkeys). Eso sí: estos gadgets cuestan pasta.
fomlimalma
Se supone que ya se habían puesto de acuerdo para poder cambiar la passkey de plataforma de forma fácil