Invibibles, pero insustituibles. Así son —que diría Sabina— las contraseñas. Las usamos —a menudo mal— para todo, pero siguen siendo una condena de la que ahora varias empresas y organismos nos quieren librar. Los gestores de contraseñas y los sistemas de autenticación en dos pasos (2FA) han mejorado la situación en algunos ámbitos, pero hay una prometedora tecnología que poco a poco se va haciendo sitio: se llama 'passkeys' (y no 'Passkeys').
Matemos las contraseñas. La FIDO Alliance lleva años impulsando métodos de autenticación más cómodos y seguros para el usuario. Su objetivo último es tratar de matar a las contraseñas de toda la vida, y es ahí donde entran las 'passkeys', que como indican en su FAQ son una alternativa a las contraseñas.
Claves cifradas. Esta alternativa se basa en claves criptográficas WebAuthn que usan un dispositivo de usuario (un ordenador, un móvil o una llave de seguridad). Esas claves se sincronizan con esos dispositivos a través de un servicio en la nube, y solo residen en un dispositivo, del cual no pueden ser copiadas.
No hay generación automática. No tendremos que recordarlas ni decirle a un programa —un gestor de contraseñas, por ejemplo— que nos la genere y la guarde. Ese proceso es automático y transparente, pero como indican en ArsTechnica, por ahora el centro de todo es sobre todo el móvil.
Bluetooth protagonista. El requisito, eso sí, es curioso: tendremos que tener Bluetooth activado en el móvil (y soporte Bluetooth en el ordenador donde necesitemos usar las 'passkeys') para que ambos "se hablen" y las claves se transfieran. Aquí la tecnología Bluetooth se usa para garantizar que nuestro dispositivo seguro (el móvil, en este caso), está con nosotros, cerca de la web en la que por ejemplo queremos iniciar sesión.
Google se pone en marcha. En mayo ya hablamos de esa alianza que se había formado entre FIDO y empresas como Microsoft, Apple o Google. Ahora esta última ha anunciado que las passkeys comienzan a llegar a Android y Chrome de forma preliminar.
Contraseñas generadas en tiempo real. Como explican nuestros compañeros de Xataka Android, el proceso de usar passkeys es relativamente sencillo. Cuando una aplicación o sitio web nos pida registrarnos o identificarnos, nuestro dispositivo Android nos informa de que podemos 'Crear una passkey'.
Chrome como intermediario. Para hacerlo tenemos que usar nuestra huella dactilar o patrón de desbloqueo, y esa clave se guardará en el gestor de contraseñas de Chrome. Gracias a eso podremos sincronizarla con el navegador Chrome en el escritorio, que la usará para registrarnos o iniciar sesión en esa aplicación o sitio web. En el ejemplo mostrado por Google también intervenían los códigos QR, pero probablemente esta sea una alternativa más a la hora de que un sitio web o app nos pida registro o inicio de sesión.
Esto es solo el principio. Este soporte preliminar de las passkeys está disponible ya en la beta de los Play Services de Google y en Chrome Canary. La versión final llegará antes de que acabe el año, pero aquí lo importante es además que los desarrolladores de aplicaciones móviles y desarrolladores de sitios y aplicaciones web comiencen a dar soporte a las passkeys.
Interoperabilidad. Google ha sido la primera en ofrecer dicho soporte, pero en realidad las passkeys serán interoperables: un móvil Android podrá enviar una passkey a Safari y un iPhone podrá enviar una passkey a un Android, por ejemplo.
Microsoft y Apple también están trabajando junto a Google y FIDO para impulsar esta tecnología que quiere matar a las contraseñas, y la idea ciertamente es notable. Veremos cómo evoluciona ese soporte, pero puede que tengamos ante nosotros una valiosa alternativa —¿quizás la definitiva— a las contraseñas de toda la vida.
Ver 31 comentarios
31 comentarios
José M
"Google ha sido la primera en ofrecer dicho soporte..."
Perdona Javier, pero en los SO de la manzana están disponibles las Passkeys desde septiembre. Yo mismo lo he podido probar desde que llegó iOS 16 a mi móvil.
Saludos
tfd
¿Y cómo accedes sin móvil? Porque el móvil se puede perder, no llevar encima, robar, reestablecer...
Demasiadas variables para depender del mismo de forma exclusiva
p2dzca
* Se requiere un teléfono. La mayoría de los teléfonos móviles del mundo tienen vulnerabilidades conocidas que nadie corrige porque los fabricantes no se hacen cargo. Es una mala idea hacer depender nuestra seguridad de equipos y software vulnerables.
* Se requiere Bluetooth, una tecnología con más agujeros de seguridad que un queso emmental. Los expertos no recomiendan su uso y, mucho menos, tener Bluetooth activado constantemente. Esta tecnología ya la descartó Yubico por eso en sus productos de autenticación.
* El uso de 'Passkey' por Google utiliza Google Password Manager. Es una ventaja para Google, pero no para los usuarios. Las grandes tecnológicas quieren controlar información y servicios y hacernos dependientes de ellas. Las personas debemos hacernos responsables y controlar nuestra autenticación en internet. No podemos dejar la seguridad de la autenticación en manos de otros.
* Mientras no se pueda hackear un cerebro, una contraseña está más segura en nuestra cabeza que en nuestro móvil. A nosotros quizá nos dé igual, pero hay personas por el mundo para las que su vida depende del nivel de seguridad de sus datos. No sería la primera vez que la policía ha desbloqueado el móvil con el dedo o la cara de una persona dormida, drogada o muerta.
iban.garcia.7
Y si me quedo sin batería ya no puedo acceder a mis servicios, lo veo como una opción adicional pero no como una solución.
Lo que yo utilizo es un algoritmo sencillo de generación de contraseñas a la hora de crearlas, así todas son distintas pero recuerdo todas, pues las puedo volver a generar sin recordarla.
Pongo un ejemplo de un posible algoritmo:
Si he nacido el 23/03/1993 y quiero crear una contraseña para Xataka, podría tener esta contraseña -> xaTaka230393!3
He puesto la tercera letra en mayúscula, añadido un carácter raro al final y un 3 por el número de vocales del servicio. Estas reglas se mantienen constantes.
Para Facebook en este caso sería faCebook230393!4
TelloCaA
Alojado por Google?
No gracias, prefiero tomar de mi libreria dos libros aleatorios, página aleatoria y seleccionar 2 palabras, combinar con algún elemtno del entorno y listo, directo al gestor de contraseñas.
Si pierdo el móvil, tengo una copia de seguridad sincronizada con todos mis ordenadores (Vaultwarden) o bien, usar el generador del gestor de contraseñas :D
cathangb
Imprescindible móvil, Bluetooth y Google como intermediario. Venga, hasta luego.
xperia10
Sigue habiendo una clave, la historia es que el usuario no tiene que recordarla. Aunque sea a base de dar cada vez más importancia al móvil.
Me parece una gran solución. Gestionar tantas contraseñas se está volviendo un problema.
Trocotronic
Con bluetooth tienes el peligro de quedarte sin batería y dejarte colgado sin poder acceder a tus credenciales.
Muchas llaves combinan NFC y USB.
alca30
"Invibibles" viene del verbo vibir?