5 preguntas sobre contraseñas, este sistema que quiere reemplazar tus contraseñas

¿Podría ser este el aplauso final para nuestras contraseñas? durante muchos meses, Apple, Google, Microsoft y otros gigantes web están tratando de reinventar la autenticación web usando un nuevo método: claves de acceso (o claves de acceso en buen francés). Su propósito es ayudarnos a deshacernos de las contraseñas y su pésima reputación de seguridad.

Autenticarse usando una combinación clásica de nombre de usuario y contraseña presenta muchos riesgos. Los internautas suelen reutilizar el mismo sésamo en varios sitios y, como se demuestra año tras año ranking de las peores contraseñas, rara vez son muy seguros. Como resultado, a la menor fuga de datos, decenas de cuentas se vuelven vulnerables a los piratas informáticos. Hay muchos gestores que deben reforzar la seguridad, pero las grandes empresas web ahora quieren ir más allá con las claves de acceso.

¿Qué son las claves de acceso?

En pocas palabras, las claves de acceso son claves criptográficas almacenadas en su dispositivo (computadora, teléfono, tableta) que le permiten identificarse en un sitio web. Estos archivos obviamente están encriptados y solo se pueden usar después de que se haya validado la identidad del usuario.

Cuando te registras en un sitio que ofrece autenticación a través de contraseñas, se crean dos claves: una pública, que permanece en los servidores del sitio, y una privada almacenada en tu dispositivo. Cuando te vuelvas a conectar, dicho sitio web presentará una especie de “problema” criptográfico en tu dispositivo, que solo él podrá solucionar gracias a su clave privada. Para asegurarse de que eres tú el que está delante de la pantalla, tu máquina te pedirá que te identifiques mediante un código PIN, tu huella dactilar o reconocimiento facial.

Esta es toda la inteligencia del sistema. En lugar de tener que recordar una contraseña larga y compleja, el mismo método que usa para desbloquear su teléfono a diario será suficiente para identificarlo. El sistema operativo corregirá el “problema” y garantizará la identificación. La contraseña, por lo tanto, desaparece en favor de una identificación simplificada (ya que es administrada por el sistema operativo) y segura (ya que está protegida por encriptación). Esto hace que la piratería sea más compleja, ya que necesita acceder al dispositivo en cuestión y al método de validación de ID. El phishing mediante la creación de sitios web falsos también es casi imposible, ya que cada clave está vinculada a una URL específica.

Tenga en cuenta que, en el caso de la identificación biométrica, la huella dactilar (o facial) en sí misma obviamente nunca se envía al host del sitio web. El servidor solo ve la validación del sistema operativo.

De donde vino eso ?

Las claves de acceso fueron desarrolladas por la asociación Fido, responsable de la estandarización de los protocolos de identificación. Detrás del término de marketing adoptado por Apple, Google y otros, en realidad se oculta la interfaz de programación WebAuthn, que permite establecer el vínculo entre la autenticación operada por el sistema operativo y el sitio web al que se conecta.

¿Y funciona en todos los dispositivos?

Los lectores entusiastas habrán notado que las claves de acceso se almacenan localmente en una máquina de forma predeterminada. Descontento en un momento en el que te conectas ya sea desde tu smartphone, tablet u ordenador. Afortunadamente, los impulsores del sistema pensaron en este escenario.

Las claves de acceso se pueden sincronizar entre dispositivos en el mismo ecosistema. En Apple, se pueden almacenar en iCloud Keychain, por ejemplo, lo que permite que estén disponibles automáticamente en su iPhone, iPad y/o Mac. Actualmente, Google está lanzando lo mismo con su administrador de contraseñas, disponible en Chrome y Android. Si intenta conectarse desde una máquina que no tiene acceso a sus cuentas, no hay de qué preocuparse: el sitio le permitirá conectarse por teléfono enviando una notificación o escaneando un código QR.

Desafortunadamente, todavía no hay formas de sincronizar su llavero de un ecosistema a otro. Para pasar de un terminal iPhone a un terminal Android, por ejemplo, deberás utilizar tu antiguo dispositivo para validar una a una las conexiones iniciadas por el nuevo.

Muchos sistemas operativos ya admiten claves de paso. iOS 16 y macOS 13 permiten así la creación y sincronización de un llavero. Google ha comenzado a implementar la función en Android y se espera que esté disponible en todos los dispositivos con la versión 9.0 (o superior) del sistema operativo en noviembre. En Windows, las claves de acceso están disponibles en Google Chrome y Microsoft Edge. Por otro lado, las plataformas que ofrecen identificación a través de contraseñas no son legión. En Reddit, encontramos listas de sitios que usan este nuevo protocolopero probablemente tomará algunos meses (o incluso años) para que el método se generalice.

Si tiene un dispositivo compatible y está navegando en un sitio web que lo ofrece, usar contraseñas no podría ser más fácil.

ir a un sitio web ad hoc (de Nvidia, por ejemplo) y al crear su cuenta, no ingrese una contraseña y elija la opción Conectar con un dispositivo de seguridad. Se abrirá una ventana emergente que le preguntará si desea guardar una clave de autenticación (iOS) o una clave de paso (Android) para el identificador que acaba de ingresar. Después de un escaneo rápido de Face ID o huellas dactilares, se crea su cuenta. Cuando desee volver a conectarse, simplemente elija la misma opción y valide la autenticación por el método elegido.

Si ya tiene una cuenta (en el sitio web de Nvidia o en otro lugar), puede ir a las opciones y agregar la autenticación de contraseña a través de la configuración (si el sitio web lo ofrece). La mayoría de las veces, este último está oculto en la configuración de seguridad y se llama Agregar un dispositivo/dispositivo de seguridad. El sistema operativo se hará cargo y usted puede ser guiado.