Google ha dado un paso más en el largo y arduo camino de eliminar el login a través de contraseñas y acaba de habilitar el uso de passkeys para cuentas personales. Este sin duda es un paso importante más allá del MFA para mejorar nuestra seguridad.
Las contraseñas como las conocemos tradicionalmente deben desaparecer más pronto que tarde. Estos últimos años hemos ido disponiendo del MFA, que añadía una nueva capa de seguridad al proceso de autenticación sumando a algo que ya conocíamos, la contraseña, algo que teníamos, por ejemplo un teléfono a través del cual verificar llamadas o sms.
Este método con el tiempo ha probado no ser tan seguro como se presuponía inicialmente y ha acabado siendo víctima de ataques como el de SIM swapping entre otros.. por esto mismo ya hace tiempo se continúa avanzando en el camino de utilizar passkeys como un método más seguro para autenticarnos.
Que es una passkey?
Una passkey no deja de ser una credencial digital vinculada a un usuario y un sitio web o aplicación. Basado en criptografía de clave pública, es decir con una clave privada generada en cada dispositivo que queramos utilizar bloqueada a través del método de desloqueo del propio dispositivo (PIN, huella cara...) Y que en ningún momento abandona el propio dispositivo y que genera a su vez una clave pública que utiliza la otra parte para verificar la autenticidad de la petición.
Cómo utilizarlo?
Para habilitar nuestro primer dispositivo podemos visitar g.co/passkeys. Ahora mismo está funcionalidad requiere las siguientes configuraciones:
- Google: Chrome 109+, Android 9+, ChromeOS 109+
- Apple: Safari 16+, iOS 16, macOS Ventura
- Microsoft: Edge 109+, Windows 10/11
En el primer dispositivo que habilitemos esta opción en nuestra cuenta de Google se creará y almacenará una clave privada, subiendo su correspondiente clave pública a los servidores de Google y estando la misma disponible para gestionarla en nuestro perfil.
Una vez queramos loguearnos en Google nuestro dispositivo únicamente nos pedirá desbloquear el propio dispositivo. Una vez hecho esto y por tanto desbloqueada la clave privada está se comprueba contra la clave pública almacenada en Google y nos autentica.
Añadiendo más dispositivos
Una vez tengamos nuestro passkey en un dispositivo y queramos autenticarnos en otro, en este último tendremos la opción de hacerlo a través del passkey de otro dispositivo, a través de un código QR o una comprobación de cercanía Bluetooth.
En este caso cuando desbloqueamos el passkey nos autenticará temporalmente en el nuevo. Si este dispone de la capacidad de almacenar passkeys seremos preguntados si queremos generar una también en ese dispositivo. En el caso que no o qué estemos usando un dispositivo compartido o temporal podremos obviamente saltar esta opción En el caso que el dispositivo no soporte esta tecnología se continuará permitiendo la autenticación con usuario y contraseña.
Eliminando dispositivos
Todos los dispositivos que utilicemos de esta manera aparecerán en nuestra cuenta de Google en settings, en el caso de que queramos inhabilitar alguno simplemente revocaremos la passkey en cuestión.
Planes de futuro
Aunque sin duda el objetivo último es eliminar la opción de usuario y contraseña e incluso el MFA, por el momento el passkey no es sino otra opción recomendada a nivel de seguridad y no existen aún plazos para que sea de obligado uso.
Teneis mas información en este link
