Passkey de Google ofrece a los usuarios la posibilidad de utilizar una llave de acceso para identificarse y acceder a sitios web o apps sin teclear su nombre de usuario y contraseña.
Su propósito, explican desde Google, es que las passkey o llaves de acceso reemplacen a las tradicionales (y engorrosas) contraseñas. Un nuevo mecanismo que se suma a la función “Saltar contraseña cuando sea posible” de Google, como aceptar una notificación en otro dispositivo.
Las llaves o claves de acceso son una alternativa al sistema de credenciales basado en nombre de usuario y una contraseña.
El final de las contraseñas es un deseo y una necesidad que muchos usuarios reclaman desde hace años. Por comodidad, pero sobre todo por seguridad: las contraseñas son “primitivas” y tienen demasiados defectos.
¿Qué es una llave de acceso?
En este contexto, al hablar de clave o llave de acceso nos referimos a una credencial digital que nos identifica ante un sistema (como una página o servicio web, o una app) utilizando un PIN o mediante identificación biométrica.
Es decir, que en lugar de autenticarnos tecleando algo que sabemos (el nombre de usuario y la contraseña) nos identificamos también con algo que somos o que tenemos:
- Trazando un patrón de desbloqueo en nuestro dispositivo.
- Tecleando un número PIN.
- Usando nuestra huella dactilar.
- Identificándonos con nuestro rostro.
El resultado es parecido a cuando el sistema operativo o el navegador web guarda las contraseñas. Pero con una capa de seguridad adicional que verifica la identidad de la persona que intenta utilizar esas credenciales guardadas.
Cómo funciona Google Passkey
A diferencia de como sucede con las credenciales basadas en nombre de usuario y contraseña, las llaves de acceso utilizan criptografía asimétrica o de clave pública.
Es decir, que la credencial consta en realidad de dos claves matemáticamente relacionadas:
- La clave pública, que se guarda en el sitio web o en la app.
- La clave privada, que se guarda en el dispositivo del usuario.
Como el sitio web o la app solo tiene la clave pública, un robo o una filtración de contraseñas no expone las credenciales del usuario. Un atacante que tenga solo la clave pública no puede hacer nada con ella: ni identificar al usuario ni acceder a su cuenta.
Es uno de los motivos por los que las llaves de acceso son más seguras que las contraseñas. Incluso teniendo el dispositivo que almacena la clave privada (la otra “mitad” de la llave) un atacante todavía tendrá que sortear alguno de los sistemas de identificación que mencionábamos —PIN, patrón de desbloqueo, huella dactilar o reconocimiento facial.
Mayor protección contra ataques de phishing
Además, la llave de acceso mantiene un registro que relaciona cada clave privada con la app o el sitio web que guarda la clave pública, única en cada caso. De modo que Passkey no se activa al acceder a un sitio malicioso, porque la llave de acceso solo se puede usar en el sitio web o app donde se generó.
Las llaves de acceso Passkey se basan en el estándar FIDO y funcionan en Android, Chrome, Windows, Edge, macOS, iOS, Safari…
Passkey se basa en la especificación FIDO (Fast Identity Online) de FIDO Alliance que aplica factores de autenticación más robustos que las contraseñas. Su propósito es impulsar un mecanismo común que nos ahorre recordar o gestionar contraseñas.
Pero sobre todo aspira a fortalecer la seguridad protegiendo mejor a los usuarios. Por ejemplo, contra ataques diseñados para robar contraseñas y credenciales de acceso, como los ataques de phishing.
Adiós a la autenticación de doble factor (2FA)
Passkey añade una ventaja adicional para los usuarios: la llave de acceso hace innecesaria la autenticación de doble factor (2FA) mediante mecanismos como códigos por SMS, llamadas de seguridad o enlaces por email.
La autenticación de doble factor es hoy un mecanismo esencial para fortalecer la seguridad y protegerse contra el robo de credenciales o accesos no autorizados. Sin embargo, también resulta engorroso porque requiere atender una llamada o esperar a un SMS o email con un código numérico o un enlace.
Cómo configurar Google Passkey
Para utilizar Passkey el dispositivo Android, iOS, Windows o macOS debe cumplir una serie de requisitos mínimos que se pueden consultar aquí.
Para activar Passkeys:
- Accede a g.co/passkeys e identifícate con tu cuenta de Google.
- Pulsa la opción Crear llave de acceso.
- Elije en qué dispositivo quieres crear la llave de acceso.
Una vez creada, la llave de acceso se guarda en el dispositivo seleccionado. Desde ese momento ya se puede utilizar para iniciar sesión en Google sin necesidad de teclear el nombre de usuario y la contraseña.
Es importante tener en cuenta que una vez se crea una llave la podrá utilizar cualquier persona que tenga acceso a ese dispositivo. Por ejemplo, otra persona que tenga tu móvil y conozca el PIN o patrón de desbloqueo.
La llave de acceso se guarda en ese dispositivo y no se puede extraer, aunque se puede compartir con otros dispositivos del mismo usuario.
Por tanto, en caso de pérdida o robo del dispositivo que almacena la llave de acceso será necesario acceder a la cuenta de Google (esta vez sí, con la contraseña de siempre) y eliminar las llaves asociadas a ese dispositivo perdido.
Foto de apertura: Florian Berger / Unsplash
The post Passkey es otro clavo de Google en el ataúd de las contraseñas appeared first on Think Big.