imágenes falsas
Big Tech quiere eliminar la contraseña, siendo las «claves de paso» el nuevo estándar de reemplazo de contraseñas en el bloque. Las claves de acceso están respaldadas por Google, Apple, Microsoft y FIDO Alliance, así que espere verlas pronto en todas partes. iOS adoptó el estándar en la versión 16, y ahora Google está lanzando versiones beta de claves de acceso en Chrome y Android.
El argumento de la clave de acceso es que las contraseñas son antiguas e inseguras. Las contraseñas de las computadoras se concibieron originalmente como un secreto fácil de recordar para que los humanos lo escribieran en un cuadro de texto. A medida que surgió la necesidad de una mayor seguridad, llegaron los administradores de contraseñas, lo que facilita guardar y recuperar sus contraseñas. Ahora, en lugar de una frase memorable para los humanos, la forma ideal de usar una contraseña es hacer que una computadora genere una cadena de caracteres salvajes y nunca reutilizar esa contraseña en ningún otro lugar. Sin embargo, la revolución del administrador de contraseñas es todo un truco, construido sobre ese cuadro de texto original. Realmente ya no necesitamos el cuadro de texto, y ahí es donde entran las claves de paso.
Las claves de acceso solo intercambian claves criptográficas de WebAuthn con el sitio web directamente. No es necesario que un ser humano le diga a un administrador de contraseñas que genere, almacene y recupere un secreto; todo sucederá automáticamente, con secretos mucho mejores que los que admitía el cuadro de texto anterior y con la exclusividad impuesta. La desventaja es que, si bien todos los navegadores del mundo admiten mostrar ese cuadro de texto antiguo, será necesario agregar compatibilidad con claves de acceso a todos los navegadores web, administradores de contraseñas y sitios web. Va a ser un largo viaje.
Ron Amadeo
La única elección extraña que hizo Big Tech con las claves de acceso es que lo que autentica su acceso a un sitio web es su teléfono, no el administrador de contraseñas en cualquier dispositivo que esté utilizando actualmente. Esta comunicación entre el teléfono y el cliente tampoco se realiza a través de Internet como la autenticación de dos factores: el dispositivo que está utilizando debe tener Bluetooth para que su teléfono pueda hablar con él localmente. Bluetooth se usa para asegurarse de que su teléfono esté cerca del dispositivo y para iniciar una sesión de red (más segura que Bluetooth). Mantener la comunicación local garantiza que personas aleatorias en Internet no puedan iniciar sesión en sus cuentas, pero también bloqueará algunas computadoras de escritorio.
Google dice que sus esfuerzos de clave de paso han alcanzado «un hito importante» hoy. Si se registra en la versión beta de Play Services, ahora puede crear y usar claves de acceso en dispositivos Android, y Chrome Canary ahora admite claves de acceso para sitios web. Google dice que las implementaciones estables para Chrome y Android estarán disponibles más adelante este año, pero quiere que los desarrolladores comiencen a desarrollar ahora mismo.
Google también compartió algunos detalles de cómo va a funcionar esto. La solución de Google tiene sus claves de acceso almacenadas en Google Password Manager. Una ventana emergente en su teléfono primero le pedirá que elija una cuenta y luego se autentique con algún tipo de biométrico, como el desbloqueo de huellas dactilares. El teléfono se comunicará con el cliente a través de Bluetooth, el navegador desbloqueará su clave de paso y luego la enviará al sitio web. (Si el cliente es su teléfono, entonces todo se vuelve mucho más simple).
¿Empiezas con un código QR? Esto debe ser solo un truco para la versión beta.
Por alguna razón, el ejemplo de Google implica iniciar todo el proceso con un código QR. Supongo que esto es solo un truco rápido para la versión beta, pero para que la ventana emergente de la clave de acceso aparezca primero en su teléfono, Google hace que la computadora muestre un código QR y luego el teléfono lo escanea. Al igual que con Google Prompt u otras formas de 2FA, en el futuro, se espera que la ventana emergente inicial de la clave de acceso se abra automáticamente a través de Internet.
Además de los lanzamientos estables para Android y Chrome, lo siguiente para Google es una API para aplicaciones nativas de Android y una API de Android para que los administradores de contraseñas de terceros se conecten. Google está poniendo su casa en orden en este momento, pero en el futuro esto debería funcionar en todos los ecosistemas, por lo que un iPhone podría enviar una clave de acceso a Chrome, o un teléfono Android podría enviar una clave de acceso a Safari.