Las contraseñas son parte de nuestra vida desde hace décadas, especialmente ahora que vivimos en un mundo totalmente conectado. Redes sociales, plataformas bancarias, laborales, correos electrónicos, servicios de streaming, etc. ¡Las contraseñas están en todas partes! Y, por esta misma razón, muchos no les prestamos la atención debida a nuestra seguridad: usamos dos o tres contraseñas para todo, utilizamos datos fáciles de recordar, las anotamos en cualquier lugar inseguro y mucho más.
Sí, los gestores de contraseñas han ayudado un montón en hacer nuestra vida online más segura, así como la autenticación en dos pasos. Sin embargo, las contraseñas siguen ahí como un mal necesario para mantener seguros nuestros datos, hasta ahora…
Una nueva tecnología, llamada «passkeys», está ganando terreno rápidamente y promete ser el sustituto definitivo a las contraseñas. Además, ya tienen soporte en Android y Google Chrome. ¿Qué son las «passkeys»? ¿Cómo funcionan en Android y otros dispositivos? Diles «adiós» a las contraseñas, porque parece que les llegó un sustituto.
¿Qué es passkeys? ¿Quién impulsa su desarrollo?
La tecnología passkeys (así, en minúscula), es una alternativa que espera sustituir a las contraseñas y está impulsada por la FIDO Alliance. Google, Microsoft y Apple son parte de esta alianza, así como muchas otras compañías de carácter mundial. ¿El objetivo de passkeys? «Proporcionar a los usuarios inicios de sesión más rápidos, fáciles y seguros en sitios web y aplicaciones de sus dispositivos».
Para ello, utiliza claves criptográficas (cifradas) que siguen el estándar WebAuthn del World Wide Web Consortium (W3C). Sí, seguimos hablando de claves, pero estas no tendrás que recordarlas como las contraseñas tradicionales. Aparte, no son reutilizables y no pueden filtrarse, así que te protegerán de ataques de phishing.
Se usan a través de un dispositivo que almacenará tus claves y se sincronizará con todos los servicios que te pidan iniciar sesión para usar una plataforma. La comunicación con la plataforma se hará a través de la nube, en un proceso automático y transparente que no requerirá solicitudes de contraseñas. Vamos, como los pagos contactless cuando tienes que hacer la compra, pero muchísimo más seguros.
En el proceso intervienen dos dispositivos: el primero, el dispositivo anfitrión/seguro que almacena tus passkeys, que puede ser tu ordenador, una llave de seguridad o tu móvil. El segundo, el dispositivo cliente, que será cualquiera que se utilice para acceder al servicio que requiera inicio de sesión.
¿Cómo se realiza la conexión entre ambos dispositivos? A través de Bluetooth, pues así se puede garantizar que el dispositivo seguro está cerca de ti al momento de iniciar sesión. Aunque, ojito, un dispositivo anfitrión podría ser al mismo tiempo un dispositivo cliente. Por ejemplo, al usar tu mismo móvil (configurado como dispositivo seguro) para acceder a tu red social favorita.
Cómo configurar passkeys en Android y Chrome ahora que son compatibles
Ahora que sabes que son las passkeys, viene lo realmente interesante: Google ya agregó compatibilidad con esta tecnología a Android y Chrome, aunque de forma parcial.
Cuando una aplicación o plataforma web te pida registrarte o iniciar sesión, esto es lo que tendrás que hacer si pretendes usar passkey en Android:
- Tu móvil te permitirá crear una passkey para dicho servicio, hazlo.
- Una vez la establezcas, se te pedirá confirmar tu identidad usando tu huella, pin o patrón de desbloqueo para poder almacenarla.
- Si todo va bien, la passkey se sincronizará con el administrador de contraseñas de Google a través de un protocolo seguro.
De ahí en adelante, no tendrás que escribir la contraseña nunca más al conectarte con ese servicio, que ya está configurado. En cambio, al intentar iniciar sesión, te encontrarás con una interfaz similar a la del autocompletado de Google. Deberás seguir estos pasos:
- Selecciona el usuario ligado a la passkey.
- Identifícate con la huella o método de desbloqueo que tengas configurado.
- Listo, abrirás sesión automáticamente sin necesidad de introducir contraseñas.
Como verás, este caso es justamente el que mencionamos en la sección anterior: tu móvil funciona al mismo tiempo como dispositivo seguro y como cliente.
En el caso de Google Chrome, la cosa cambia un poco, pues la confirmación de identidad tendrás que hacerla escaneando un código QR que aparecerá en pantalla. Como podrás imaginar, el escaneo se hace con tu móvil, que es el dispositivo anfitrión.
Ahora bien, honestamente, la idea de usar el administrador de contraseñas de Google no nos parece algo tan seguro. Sin embargo, aporta una ventaja: podrás cambiar tu dispositivo seguro de una manera mucho más sencilla.
¿Cuándo estará disponible passkey en Android y Google Chrome?
Al momento de escribir esta nota, esta nueva funcionalidad está disponible al instalar la versión beta de Google Play Services o Google Chrome Canary. Google espera abrir la compatibilidad a todos los usuarios hacia finales de año, pero primero quiere hacer algo: crear una API nativa.
¿Qué quiere decir esto? Que actualmente passkey funciona en Android y Chrome empleando la API heredada de WebAuthn, por eso es que decimos que la implementación es parcial. Lo que quiere Google antes de finalizar 2022 es tener lista su API Nativa de passkeys para no depender de otros servicios y así asegurar un mejor funcionamiento.