Google está dando un gran paso hacia nuestro futuro supuestamente sin contraseña al habilitar cuentas de Google solo con contraseña. En la publicación del blog, titulada «El comienzo del fin de la contraseña», Google dice: «Hemos comenzado a implementar la compatibilidad con las claves de acceso en las cuentas de Google en todas las plataformas principales. Serán una opción adicional que las personas pueden usar para iniciar sesión, junto con contraseñas, verificación en dos pasos (2SV), etc.» Anteriormente, podía usar una clave de paso con una cuenta de Google como parte de la autenticación de dos factores, pero eso siempre era además de una contraseña. Ahora es posible usar una cuenta de Google con una clave de paso en lugar de una contraseña.
Una clave de acceso, si no ha oído hablar del nuevo método de autenticación, es una nueva forma de iniciar sesión en aplicaciones y sitios web y algún día puede reemplazar una contraseña. El ingreso de contraseñas comenzó como un simple cuadro de texto para humanos, y esos cuadros de texto poco a poco se fueron automatizando y complicando a medida que llegaba el deseo de una mayor seguridad. Mientras que solía escribir una palabra recordada en un campo de contraseña, hoy en día, la forma correcta de usar una contraseña es hacer que un administrador de contraseñas pegue una cadena aleatoria de caracteres en el cuadro de contraseña. Dado que pocos de nosotros ingresamos físicamente nuestras contraseñas, las claves de acceso eliminan el cuadro de contraseña.
Las claves de acceso hacen que su sistema operativo intercambie directamente pares de claves públicas y privadas, el estándar «WebAuthn», con un sitio web, y así es como se autentica. La demostración de Google de cómo funcionará esto en un teléfono se ve muy bien: el cuadro habitual solicita su nombre de usuario de Google, luego, en lugar de una contraseña, solicita una huella digital, lo que desbloquea el sistema de contraseña y ya está conectado.
El soporte sin contraseña de Google se dirige a los dispositivos de los consumidores en este momento, mientras que las cuentas comerciales de Google Workspace «pronto» tendrán la opción de habilitar las claves de acceso para los usuarios finales.
Las claves de acceso aún no están listas para el horario de máxima audiencia
Incluso con Google apostando por las claves de acceso, eso no significa que estén listas para una adopción generalizada. Primero, algunas plataformas (Windows/Linux/Chrome OS) no están tan avanzadas como otras (macOS/iOS/Android). El sitio oficial passkeys.dev tiene una página útil que rastrea la preparación plataforma por plataforma, y todavía queda un largo camino por recorrer. Sería terrible no poder acceder a su cuenta de contraseña de Google en Chrome OS, lo que presumiblemente lo bloquearía hasta que vuelva a cambiar a una contraseña.
El segundo problema no parece que vaya a solucionarse pronto, y es que las claves de acceso se sincronizan a través de su ecosistema del sistema operativo, no a través de un navegador, lo que representa una regresión importante en la forma en que funcionan las contraseñas. Hoy, si agrego una contraseña a Chrome en Windows, esa contraseña estará disponible instantáneamente en todos los lugares donde tenga Chrome instalado, como un teléfono Android, una MacBook, un iPhone, una Chromebook, etc., pero las claves de paso no funcionan así.
Para citar la página de FIDO Alliance, las claves de acceso se «sincronizan con todos los otros dispositivos del usuario que se ejecutan la misma plataforma del sistema operativo» [emphasis ours]. Eso significa que si agrego una clave de acceso a Chrome en Windows, esa clave de acceso entra en la tienda de claves de acceso del proveedor del sistema operativo (Microsoft) y solo se sincronizará con otros sistemas operativos de Microsoft. Si usa exclusivamente dispositivos Apple, todo se sincronizará y no notará la diferencia. El resto de nosotros necesitaremos pasar por un código QR y un proceso de transferencia controlado por Bluetooth para que nuestras credenciales funcionen en Windows y Android o Android y Linux, o cualquier otra combinación de proveedores de sistemas operativos cruzados. Las grandes empresas tecnológicas a cargo de las claves de acceso no parecen estar interesadas en hacerlas tan sencillas y convenientes como las contraseñas, y eso será un gran obstáculo para su ubicuidad.
1Password confirma todo este lío de sincronización: «Actualmente, las claves de paso en otras plataformas requieren que use un dispositivo del mismo ecosistema para autenticarse. Sincronizar con otros sistemas operativos o compartir claves de paso requiere soluciones tediosas, como códigos QR, lo que resulta en una tarea más complicada». y una experiencia menos segura». No está claro si aplicaciones como 1Password han sido invitadas a la fiesta de claves de acceso de Big Tech. 1Password dice que se unió a FIDO Alliance, pero la página de claves de acceso de 1Password también tiene un video que dice que las claves de acceso no estaban lo suficientemente abiertas. El video dice: «Las soluciones actuales no cumplen esa promesa de apertura e interoperabilidad. Si crea una contraseña en su dispositivo iPhone o Android hoy, está prácticamente atrapada. No es fácil compartirla, moverla a otra plataforma o sincronizarla». con su administrador de contraseñas preferido. Podemos hacerlo mejor. Y es por eso que estamos emocionados de mostrarle cómo sería el futuro, si la tecnología sin contraseña fuera más abierta».
La página de contraseñas de 1Password contiene mucho lenguaje de «podría» y «debería», pero la compañía está trabajando en algún tipo de solución que estará disponible «este verano». Incluso si la empresa logra resolver el problema de la sincronización de claves de acceso para su propia aplicación, tener una regresión multiplataforma tan importante en la configuración predeterminada, que es lo que usará la mayoría de la gente, limitará seriamente el atractivo de las claves de acceso.
Listado de imagen por Google