El 4 de mayo se conmemoró el Día Mundial de las Contraseñas, y Google aprovechó la ocasión para anunciar su nuevo método llamado ‘passkeys’, el cual ha sido desarrollado en colaboración con Apple y Microsoft.
Un método más seguro
Este método tiene como objetivo eliminar las contraseñas de los principales servicios digitales, ya que son difíciles de recordar y pueden representar un riesgo si caen en manos equivocadas. Esta iniciativa forma parte de una larga lucha que está a punto de entrar en su fase decisiva y potencialmente caótica.
Los expertos en ciberseguridad suelen advertir que el usuario final es el eslabón más débil de la cadena. El problema con la identificación por contraseña es que deja en ese eslabón débil uno de los aspectos más importantes de su protección, lo que resulta en claves como “123456”.
Los gigantes digitales proponen una alternativa que consiste en utilizar un dispositivo de confianza del usuario como llave maestra. Google ha sido la primera en implementar esta alternativa en sus cuentas.
Las passkeys permiten a los usuarios iniciar sesión en aplicaciones y sitios web de la misma forma que desbloquean sus dispositivos: con una huella dactilar, un escáner facial o un PIN de bloqueo de pantalla
Las passkeys pueden ser instaladas en varios dispositivos, pero lo ideal es hacerlo en un móvil. Para utilizarlas, es necesario configurar la cuenta de Google para que solicite esta clave segura en lugar de la contraseña.
Esto provocará que, al intentar acceder desde otro dispositivo, en lugar del campo para introducir la contraseña, aparezca un aviso en el teléfono para confirmar la identidad del usuario. Al desbloquearlo con el PIN, la huella o la cara, se producirá una identificación criptográfica local.
Utiliza un dispositivo como llave maestra
El principio es sencillo: si la persona que está intentando acceder a la cuenta tiene en sus manos el teléfono que está vinculado a ella, sabe cómo desbloquearlo y está al lado del dispositivo desde el que está tratando de hacerlo, entonces es el propietario de la cuenta.
Detrás de ese principio, Google, Apple y Microsoft han desarrollado un entramado de varias tecnologías para hacer el sistema lo más impenetrable posible. Passkey utiliza códigos QR, Bluetooth y criptografía para asegurar que el usuario es quien dice ser.
Dicho proceso comienza con el usuario escaneando con su móvil el código QR que muestra el dispositivo desde el que está intentando iniciar sesión. Esas claves cifradas no van a ninguna base de datos, por lo que no son vulnerables a filtraciones o brechas de seguridad.
Además, la conexión con Bluetooth “garantiza que los atacantes remotos no puedan engañarte para que liberes una firma de clave de acceso, por ejemplo, enviándote una captura de pantalla de un código QR desde su propio dispositivo”, explica la compañía.
A diferencia de las contraseñas, las passkeys son resistentes a ataques como el phishing, lo que las hace más seguras que los códigos de un solo uso por SMS.