En la pasada primavera Google, Apple y Microsoft se aliaron para acabar con las contraseñas y presentaron las llamadas Passkeys. El objetivo: iniciar sesión sin contraseñas en webs y apps con una nueva idea para poder identificarnos al acceder a los programas y que pueda ser un sistema más seguro que las contraseñas que se pueden filtrar o robar a través de phishing.
Después de que Apple comenzase el pasado mes con las Passkeys en su software, ahora la empresa que ha tomado la siguiente medida ha sido Google, por ahora: a partir de hoy las Passkeys empiezan a llegar a Android y Chrome para escritorio.
Así es una Passkey
Según explican las empresas que abogan por este sistema, Passkeys (o claves de acceso) son más seguras que las contraseñas y que otros factores de autentificación, ya que no se pueden reutilizar, no se filtran y no pueden ser objeto de phishing (al no repetirse siempre la misma).
Para crear un Passkey para identificarnos en una aplicación o sitio web tendremos que usar un PIN, huella dactilar, cara o iris, dependiendo de la autentificación biométrica con la que el equipo venga equipado. Google podrá comprobar así que la persona que quiere acceder a un servicio es realmente la propietaria del dispositivo.
Cuando un usuario desea acceder a un servicio que usa claves de acceso, su navegador o sistema operativo lo ayudará a seleccionar y usar la clave de acceso. La experiencia es similar al funcionamiento actual de las contraseñas guardadas. Para asegurarse de que solo el propietario legítimo pueda usar una clave de acceso, el sistema le pedirá que desbloquee el dispositivo. Esto se puede realizar con un sensor biométrico (como una huella digital o un reconocimiento facial), un PIN o un patrón.
Un usuario puede acceder a los servicios en cualquier dispositivo con una clave de acceso, sin importar dónde esté almacenada. Por ejemplo, una clave de acceso creada en un teléfono se puede usar para acceder a un sitio web en una ordenador independiente. En Chrome para Android, las claves de acceso se almacenan en el Administrador de contraseñas de Google, que sincroniza las claves de acceso entre los dispositivos Android del usuario que accedieron a la misma Cuenta de Google.
Los usuarios no están restringidos a usar las claves de acceso solo en el dispositivo en el que se almacenan. Las claves de acceso almacenadas en los teléfonos se pueden usar cuando se accede a través del PC, incluso si esta no está sincronizada con el ordenador, siempre que el teléfono esté cerca del PC y el usuario apruebe el acceso en el teléfono. Como las claves de contraseña se compilan en estándares FIDO, todos los navegadores pueden adoptarlas.
Cómo asegura Google que esto respeta la privacidad
Los propios ingenieros de Google reconocen que algunos usuarios pueden sorprenderse si aparece repentinamente una autenticación biométrica en un sitio web o una app y piensan que está enviando información sensible al servidor. Pero es importante tener en cuenta que «con las passkeys, la información biométrica del usuario nunca se revela en el sitio web ni en la app. Los materiales biométricos nunca salen del dispositivo personal del usuario».
Las claves de acceso no permiten el seguimiento de usuarios o dispositivos entre sitios. La misma clave de acceso nunca se usa con más de un sitio. Los protocolos de clave de acceso están diseñados cuidadosamente para que no se pueda usar información compartida con sitios como un vector de seguimiento.
Por ejemplo, el Administrador de contraseñas de Google encripta los secretos de la clave de acceso de extremo a extremo. Solo el usuario puede acceder a ellos y usarlos, y, aunque haya una copia de seguridad en los servidores de Google, Google no puede usarlos para robar la identidad de los usuarios.