Passkeys ¿El fin de las contraseñas está cerca?
Passkeys es la tecnología que apunta a sustituir el uso de contraseñas, haciendo la autenticación más fácil y segura
En resumen
Google implementó en mayo de 2023 passkeys, una tecnología que busca sustituir el uso de contraseñas a la vez que aumenta la seguridad de las cuentas online. Todas las cuentas personales de Google pueden activar esta función en la configuración de seguridad; no tendrás que usar tu contraseña, ni métodos de autenticación en dos pasos. Entre otras, podrás usar tu huella o un PIN en tu navegador Chrome o en tu celular.
¿A quién beneficiaría más este cambio? Todos, todas y todes, pero será especialmente útil para activistas, periodistas y personas defensoras de DD.HH.
¿Qué son los Passkeys?
Passkeys es una tecnología de autenticación que procura liberarse del uso de contraseñas de forma que todas las vulnerabilidades asociadas a ellas sean una cuestión del pasado. La idea es que las personas usuarias de cualquier servicio en la nube o aplicación puedan acceder a sus cuentas mediante confirmación biométrica (reconocimiento facial o huella dactilar) o un PIN.
Te sugerimos el uso de un PIN robusto y, si bien no somos entusiastas de la seguridad biométrica por algunos tipos de ataques a los que puede ser susceptible, también es posible el uso de la huella dactilar. No recomendamos el uso de reconocimiento facial. Una huella dactilar siempre será más robusta que un PIN débil.
Su implementación parte del esfuerzo desarrollado por la Alianza FIDO (Fast IDentity Online), lanzada en 2013, cuya misión es el desarrollo y promoción de estándares de autenticación que reduzcan la dependencia de las contraseñas. Sin embargo, fue hasta el primer cuarto del 2022, que surgió la expectativa, cuando Google, Microsoft y Apple anunciaron su compromiso por una mayor adopción y soporte para el estándar FIDO para la autenticación sin contraseña.
Ahora, en la primera mitad de 2023, Google comenzó a implementar esta tecnología. Los passkeys se comportan como un juego de dos llaves y son almacenados en un Administrador de contraseñas (el de Google cuando son usados en Chrome), sincronizándose con la cuenta si tienes iniciada tu sesión de Google. Las personas usuarias podrán usar los passkeys de sus dispositivos (laptops, celulares, tablets o computadores de escritorio) sin necesidad de estar sincronizado con el dispositivo desde el cuál intenta autenticarse. Esto se logra mediante el uso de bluetooth, con el cual se consigue asegurar que alguien que esté autenticandose en una cuenta desde su laptop, (a) realmente está cerca de la laptop y (b) ha utilizado su passkey para autenticarse.
Una de las características más importantes de passkeys es que están diseñadas para resistir los ataques de phishing, esto se debe a que tus passkeys en realidad nunca dejan tu dispositivo. Así, contrario a lo que sucede con las contraseñas, no se pueden escribir ni transmitir por Internet cuando inicias sesión en tus cuentas.
Aprende más sobre phishing y otros ataques digitales:
Phishing (tipología de ataques digitales)
Ejemplos de phishing – Parte I
Ejemplos de phishing – Parte II
¿Y eso por qué importa? ¿Cuál es el problema con las contraseñas?
Resulta que las contraseñas poseen múltiples desventajas y son vulnerables ante una variedad de ataques. Sus aspectos débiles se pueden resumir en cuatro puntos:
(a) Debilidades inherentes asociadas a la posibilidad de ser conocidas, compartidas y de ser fáciles;
(b) Dificultades en torno a la seguridad de la administración, almacenamiento y memorización;
(c) Debilidades desde el punto de vista del prestador de servicios digitales asociadas con el resguardo seguro y las filtraciones de datos; y
(d) la susceptibilidad a ataques como el phishing, la fuerza bruta (que consiste en probar miles de posibles contraseñas por segundo hasta dar con la indicada), Shoulder surfing (mirar la contraseña por encima del hombro o de reojo), entre otros. Te recomendamos visitar la lista de las 200 contraseñas más comunes de 2022.
Ay pero no es para tanto… ¿O sí? ????
A lo mejor sí… El tiempo nos ha enseñado lo siguiente:
- Las contraseñas son la causa raíz de las brechas de seguridad el 80% de las veces.
- El 90% de las personas tienen más de 90 cuentas que requieren contraseña.
- El 51% de las contraseñas son reusadas.
Hasta ahora parece que existen razones para dejar en el pasado las contraseñas.
Si no te enamoran los passkeys quizás quieras leer nuestros posts:
¡Es momento de elegir contraseñas nuevas y seguras!
¿Es tu contraseña una reliquia? Evita ser hackeado
¿Cómo sincronizar contraseñas de KeePass entre dispositivos?
Con esos beneficios, ¡deme dos para llevar!
Los beneficios que te trae passkeys son los siguientes:
- Mejora significativa de la seguridad, puesto que tus passkeys no viajan a través de Internet, sino que se quedan en tu dispositivo.
- Resistencia a múltiples tipos de ataques de ingeniería social.
- Ni la persona usuaria ni el servicio conocen la llave que sustituye a la contraseña, aunque la persona usuaria la resguarde; así, es menos vulnerable a cualquier ataque que dependa del conocimiento de ella.
- Son siempre únicos, eliminando el problema de repetición de contraseñas.
- También son privados, ninguna de tus cuentas online puede saber si tienes passkeys de otros servicios (con excepción del servicio que uses para resguardar tus passkeys)
- Los passkey usan tecnología que verifica que uno está en efecto en el sitio web oficial, es decir, no es posible caer en trampas de páginas web fraudulentas.
- Facilidad de uso: no necesitas usar la verificación de dos pasos (pero no la desactives).
- Quién tenga acceso al dispositivo donde se ha creado el passkey, podrá usarlo para autenticarse en los sitios web con los cuales está asociado.
¿Cómo se aplican los cambios?
Google puede sugerirle a la persona usuaria que cree un passkey cuando ingresa su contraseña desde un nuevo dispositivo. También se puede crear un passkey desde la página dedicada de administración de seguridad de la cuenta de usuario. No obstante, debido a que tomará tiempo llevar los passkeys a una implementación en otros servicios, las contraseñas seguirán siendo una opción de autenticación.
Los requisitos:
- La necesidad de bluetooth en los dispositivos desde los que se quiere autenticar, si la autenticación se realiza interdispositivos (p.ej, autenticarse desde la laptop pero con el passkey en el celular).
- Como el dispositivo que conserva los passkeys es un celular, será necesario tener una cámara funcional en el momento en que se quiera guardar el passkey.
- Navegador basado en Chromium (superior a la versión 109)
Entre otras, las novedades de 2023 desde su implementación es que hay nuevos dispositivos que pueden usarse para crear un passkey:
- Laptop o computador de escritorio con Windows 10, macOS ventura o ChromeOS 109
- Dispositivo móvil con iOS 16 o Android >9
Consideraciones:
Hay algunas consideraciones respecto a la privacidad que no hemos abordado hasta aquí:
- Es posible que tu administrador de contraseñas identifique los servicios online en que has creado tus passkeys. Sí, nos referimos particularmente a Google; sin embargo, Bitwarden (uno de nuestros gestores de contraseñas recomendados) anunció que implementará los passkeys en 2023.
- Si respecto a la privacidad te preocupa el uso de tu huella o tu rostro, desde hace tiempo estos métodos de autenticación tampoco abandonan nunca tu dispositivo ni se comparten con ninguna de las apps que usas. (Fuentes: Understand fingerprints security y Passkeys: Good or Bad?)
Además, los passkeys también fueron diseñados para la privacidad: no se reusan en otros servicios, no admiten el rastreo entre sitios y los passkeys siempre están cifrados de extremo a extremo (fuente: Passkeys: Good or Bad?).
Te animamos a probar passkeys y te invitamos a que nos cuentes cómo te parecen o si tienes algún inconveniente al usarlos. Escríbenos a través de:
- nuestras redes sociales. (@socialtic)
- seguridad@socialtic.org
¿En qué servicios podemos implementar los passkeys?
Desde su implementación por parte de Google, muchos otros servicios de distinta índole han ido sumándose al uso de passkeys; algunos de estos incluyen 1Password, iOS y Tiktok. Si quieres consultar cuáles servicios siguen implementando passkeys para que puedas adoptarlos, consulta Passkeys.directory.
Fuentes consultadas:
- Passkeys (Passkey Authentication)
- The beginning of the end of the password
- https://developers.google.com/identity/passkeys?hl=es-419
- Passwordless Passkey Logins 2023 – Are they Safe for Privacy?
- [Michał Sapka’s website] Understanding Passkeys
- Why Passkeys Will Be Simpler and More Secure Than Passwords – TidBITS
- Passkeys: Good or Bad?
- Passkeys.io
- Apple, Google and Microsoft commit to expanded support for FIDO standard
- Updated resources on passkey creation and authentication flow through Credential Manager API on Android apps
Muchas gracias por este artículo. Fue muy útil para comprender el funcionamiento de passkey y aclarar puntos en los que tenía dudas (privacidad). Voy a usar este artículo para compartir la información sobre passkey con mis compañeros de trabajo.