Invibibles, pero insustituibles. Así son —que diría Sabina— las contraseñas. Las usamos —a menudo mal— para todo, pero siguen siendo una condena de la que ahora varias empresas y organismos nos quieren librar. Los gestores de contraseñas y los sistemas de autenticación en dos pasos (2FA) han mejorado la situación en algunos ámbitos, pero hay una prometedora tecnología que poco a poco se va haciendo sitio: se llama ‘passkeys‘ (y no ‘Passkeys’).
Matemos las contraseñas. La FIDO Alliance lleva años impulsando métodos de autenticación más cómodos y seguros para el usuario. Su objetivo último es tratar de matar a las contraseñas de toda la vida, y es ahí donde entran las ‘passkeys’, que como indican en su FAQ son una alternativa a las contraseñas.
Claves cifradas. Esta alternativa se basa en claves criptográficas WebAuthn que usan un dispositivo de usuario (un ordenador, un móvil o una llave de seguridad). Esas claves se sincronizan con esos dispositivos a través de un servicio en la nube, y solo residen en un dispositivo, del cual no pueden ser copiadas.
No hay generación automática. No tendremos que recordarlas ni decirle a un programa —un gestor de contraseñas, por ejemplo— que nos la genere y la guarde. Ese proceso es automático y transparente, pero como indican en ArsTechnica, por ahora el centro de todo es sobre todo el móvil.
Bluetooth protagonista. El requisito, eso sí, es curioso: tendremos que tener Bluetooth activado en el móvil (y soporte Bluetooth en el ordenador donde necesitemos usar las ‘passkeys‘) para que ambos «se hablen» y las claves se transfieran. Aquí la tecnología Bluetooth se usa para garantizar que nuestro dispositivo seguro (el móvil, en este caso), está con nosotros, cerca de la web en la que por ejemplo queremos iniciar sesión.
Google se pone en marcha. En mayo ya hablamos de esa alianza que se había formado entre FIDO y empresas como Microsoft, Apple o Google. Ahora esta última ha anunciado que las passkeys comienzan a llegar a Android y Chrome de forma preliminar.
Contraseñas generadas en tiempo real. Como explican nuestros compañeros de Xataka Android, el proceso de usar passkeys es relativamente sencillo. Cuando una aplicación o sitio web nos pida registrarnos o identificarnos, nuestro dispositivo Android nos informa de que podemos ‘Crear una passkey’.
Chrome como intermediario. Para hacerlo tenemos que usar nuestra huella dactilar o patrón de desbloqueo, y esa clave se guardará en el gestor de contraseñas de Chrome. Gracias a eso podremos sincronizarla con el navegador Chrome en el escritorio, que la usará para registrarnos o iniciar sesión en esa aplicación o sitio web. En el ejemplo mostrado por Google también intervenían los códigos QR, pero probablemente esta sea una alternativa más a la hora de que un sitio web o app nos pida registro o inicio de sesión.
Esto es solo el principio. Este soporte preliminar de las passkeys está disponible ya en la beta de los Play Services de Google y en Chrome Canary. La versión final llegará antes de que acabe el año, pero aquí lo importante es además que los desarrolladores de aplicaciones móviles y desarrolladores de sitios y aplicaciones web comiencen a dar soporte a las passkeys.
Interoperabilidad. Google ha sido la primera en ofrecer dicho soporte, pero en realidad las passkeys serán interoperables: un móvil Android podrá enviar una passkey a Safari y un iPhone podrá enviar una passkey a un Android, por ejemplo.
Microsoft y Apple también están trabajando junto a Google y FIDO para impulsar esta tecnología que quiere matar a las contraseñas, y la idea ciertamente es notable. Veremos cómo evoluciona ese soporte, pero puede que tengamos ante nosotros una valiosa alternativa —¿quizás la definitiva— a las contraseñas de toda la vida.
Fuente: https://www.xataka.com