Las brechas de seguridad dan mucho miedo: si un hacker dispone de tu nombre de usuario y contraseña y no tienes autenticación de doble factor, tu cuenta y su información puede acabar en las manos de un extraño. Pero contar con una contraseña robusta para cada uno de nuestros servicios puede tornarse una odisea de imaginación y nemotécnica. Para remediarlo, Google se ha puesto manos a la obra y sus passkey ya son una realidad: Google ha activado el inicio de sesión sin contraseña en todas las cuentas. ¿Es el adiós definitivo a las contraseñas?
Passkeys, las presentaciones
Empecemos por el principio. En 2022, Apple, Google y Microsoft anunciaron que estaban trabajando con con las Fast Identity Online Alliance (abreviadamente conocidas FIDO) para adoptar una nueva forma de iniciar sesión con passkey. Las passkey son credenciales empleadas para autenticación que se sincronizan entre tus dispositivos a través de un servicio en la nube y precisamente ese servicio en la nube también almacena una copia cifrada de la credencial.
En resumen, estas passkey son generadas con la autenticación de nuestro dispositivo, de modo que para entrar a esas aplicaciones o webs solo necesitarás verificar tu identidad con tu rostro, huella dactilar o el PIN. Como consecuencia, en un futuro cercano se apunta a erradicar el uso de contraseñas, proporcionando una forma más cómoda y segura de iniciar sesión en webs y aplicaciones. Apple implementó está función con iOS 16 y Google acaba de hacer lo propio hace un par de días.
El uso de sistemas biométricos para acceder a servicios no implica que envíes información sensible a un servidor. Google lo explica: "Los materiales biométricos nunca salen del dispositivo personal del usuario". Además tampoco sirven como vector de seguimiento para monitorizar usuarios o dispositivos como una cookie.
Google lleva tiempo trabajando en encontrar un sustituto para las contraseñas y parece que por fin se ha llevado al gato al agua. Que además Apple y Microsoft estén en el asunto nos permite pensar en haber alcanzado un estándar en la industria con unos mínimos en seguridad, almacenamiento, compatibilidad e implementación en nuestro día a día.
Aunque lo anterior suena fácil, en la práctica no lo es tanto. Si creaste una passkey para una web desde tu teléfono Android, entonces lo suyo sería que fueras capaz de sentarte delante de tu Mac y tener acceso a esa página... siempre que tengas tu teléfono contigo. Y lo mismo si ahora vas a tu ordenador de sobremesa con Windows. Quédate con este ejemplo porque volveremos a él después.
Passkeys sí, gestor de contraseñas, también
Pero las passkeys no son la panacea. Para empezar, son bastante nuevas, lo que significa que ni todos los sitios web ni todas las aplicaciones las aceptan. Es probable que en cuestión de meses los equipos de desarrollo vayan implementándolas, por lo que resulta interesante prestar atención a qué servicios son compatibles para que usar passkeys tenga sentido. Por otro lado y en última instancia, ten en cuenta que incluso aunque el uso de contraseñas se reduzca drásticamente, seguirá existiendo el PIN de nuestro teléfono como último bastión de las claves.
Además las páginas webs conservarán las contraseñas existentes, ya que claves y passkeys tendrán que convivir durante el suficiente tiempo como para que todo el mundo tenga el hardware y software necesario para las llaves de acceso. Pero es que incluso aunque un servicio ahora empiece a ofrecer passkeys, quizás no puedas usarlo con todos tus dispositivos. No se puede confiar todo solo al teléfono.
¿Y si pierdo el acceso a mi móvil? Hace unos años me robaron mi teléfono justo antes de emprender un viaje a Grecia. Allí iba mi reserva de hotel, mis billetes de avión y otros tantos documentos valiosos que tuve que recuperar en un locutorio. Con los passkeys, este suceso habría tenido tintes todavía más dramáticos.
En teoría, el no acceso a tu dispositivo no constituye un problema siempre y cuando tengas varios dispositivos a mano, precisamente para acceder con ellos. Es aquí donde sistemas de gestión de contraseñas como el de Google o el Llavero de iCloud te llegan como caídos del cielo. En cualquier caso, el proceso de recuperación debería ser lo suficientemente robusto como para evitar que personas ajenas lo pasen y al mismo tiempo, no un dolor de cabeza (especialmente si la tecnología no es lo tuyo). ¿Y los ladrones? Para acceder a tu información, primero tendrán que desbloquearlo.
Un ejemplo práctico: mi pareja y yo compartimos cuenta de Amazon (en realidad es mía, pero compramos las dos) para comprar cuando nos conviene lo que necesitamos aprovechando ofertas puntuales. A priori este tipo de uso compartido parece complicado con las passkeys. Apple permite usar AirDrop para compartir passkeys con otros dispositivos de la manzana mordida. La primera en la frente: ella usa un teléfono Android y Windows, yo tengo todo de Mac salvo mis teléfonos del trabajo. Imagino que tarde o temprano Google y Microsoft implementarán herramientas similares, pero lo suyo sería compartir los passkeys en multidispositivo más allá de SO y marcas. Otra opción: que ciertas webs permitiesen compartir cuentas.
Con todo lo anterior, seguirán quedando las contraseñas y sus debilidades. Seguro que hay webs y servicios que permiten desprenderse de las claves en favor de los passkeys pero, ¿quién dará el paso? Es un salto en seguridad, pero también implica quedarse sin algo tan "por si acaso" como la contraseña. Vamos a pensarlo dos veces y ten por seguro que no todo el mundo lo hará (con razón).
Con estos escenarios, para mí (y seguramente para otras muchas personas) sigue siendo necesario un gestor de contraseñas para iniciar sesión de forma rápida, efectiva y segura sin pegarme los minutos de rigor en tratar de recordarlas y hacer uso el prueba - error para terminar alguna que otra vez restableciendo la contraseña.
Teniendo en cuenta que lo recomendable es tener una contraseña única para cada servicio y que esta ha de ser larga, con combinaciones de letras mayúsculas y minúsculas, cifras, caracteres...recordar contraseñas está claro que no es fácil. Pero generarlas, tampoco. Y esa otra tarea de los gestores de contraseñas que agradezco enormemente: su habilidad para crear múltiples contraseñas complejas y únicas. Porque todo apunta a que a las contraseñas no han dicho todavía su última palabra.
Portada | Foto de Onur Binay en Unsplash
En Xataka Android | Cómo crear passkeys en teléfonos Android para olvidarte de las contraseñas al iniciar sesión
Ver 1 comentarios