Las claves de acceso prometen un futuro sin contraseñas, donde accederemos a nuestras cuentas tan fácilmente como desbloqueamos nuestros teléfonos, con un nivel de seguridad mucho más alto. Elija su gran veneno tecnológico, como Apple, Google o Microsoft, y probablemente lo haya visto anunciar una adquisición de clave de acceso. Si bien la revolución total de la clave de acceso puede estar un poco lejos, es posible que pronto se le pida que configure una para sus cuentas.
El enfoque de nombre de usuario y contraseña para los inicios de sesión se remonta a la década de 1960. Desde entonces, ha sido pirateable. Las contraseñas son adivinables o phishing, especialmente si no cumple con los estándares de la industria para una contraseña compleja y segura. Durante un tiempo, la solución parecía ser la autenticación multifactor o una forma de verificar su identidad al iniciar sesión a través de un mensaje de texto, una aplicación, una clave de hardware u otros métodos. Pero los defensores de la clave de acceso dicen que resolver los problemas de seguridad de inicio de sesión significa reinventar el primer paso, no agregar procesos adicionales.
“Es lo más parecido a algo que se puede escalar para eliminar contraseñas que jamás hayamos visto”, dijo Megan Shamas, directora sénior de marketing de la asociación de la industria FIDO Alliance. Una clave de acceso es una credencial de autenticación digital que se almacena de forma segura en su dispositivo. En lugar de lo que Shamas llamó un método de contraseñas de «secreto compartido», las claves de acceso son un par de claves único para cada servicio en línea que utiliza vinculado al dominio. Por lo tanto, si crea una para su cuenta bancaria en línea y un sitio web falsificado le pide que inicie sesión, la clave de acceso no funcionará.
También previene los ataques de phishing porque no puede revelar su clave de paso como lo hace con una contraseña o una frase MFA. No podemos llamarlo «antiphishing», dijo Derek Hanson, vicepresidente de arquitectura de soluciones y alianzas de la empresa de autenticación de seguridad Yubico, pero ciertamente frustra los vectores de ataque comunes que se usan hoy en día. Como mínimo, hace que sea mucho más costoso y difícil para un pirata informático ingresar, lo que hace que los piratas informáticos probablemente se trasladen a objetivos más débiles.
Para el usuario, también están destinados a ser más fáciles. En lugar de intentar realizar un seguimiento de casi 100 contraseñas o más, la clave de acceso se almacena en su dispositivo y se conecta automáticamente al servicio. Al igual que para desbloquear su teléfono, deberá ingresar un pin, huella digital, escaneo facial u otra autenticación simple para iniciar sesión. Parece demasiado bueno para ser verdad, y lo es, porque todavía es un espacio fragmentado. Si bien los grandes nombres han hecho que las claves de acceso sean una tendencia recientemente, también podrían estar frenando el uso generalizado.
Actualmente, el uso de una clave de acceso lo bloquea en un determinado proveedor de servicios, según Sayonnha Mandal, Ph.D., profesora de la Universidad de Nebraska Omaha. No puede, por ejemplo, iniciar sesión en sitios web en un teléfono Android con una clave de acceso almacenada en una MacBook. Es el tipo de bloqueo que estas empresas tienden a favorecer porque mantiene a los clientes leales a su marca. Por lo tanto, se necesitará cooperación y «en ausencia de un estándar industrial gubernamental al que todos deban adherirse obligatoriamente, no creo que las empresas lo hagan por sí mismas».
Pero Shamas dice que la accesibilidad multiplataforma está llegando, ya que las empresas firman los estándares de la industria de FIDO para el desarrollo de claves de paso. “La gran inversión en toda la industria (incluidos Apple, Google y Microsoft) para desarrollar y evangelizar la tecnología de clave de acceso habla de la amplia confianza en su promesa”, dijo un portavoz de Google. En el momento de la publicación, Google Chrome en Mac y Windows solo almacena claves de acceso en el dispositivo local.
Por ahora, si un sitio web le ofrece una opción de inicio de sesión con clave de acceso, probablemente debería registrarse. Al menos para sus cuentas más confidenciales, como la banca en línea, cambie a claves de acceso tan pronto como se ofrezca para una capa adicional de protección en esas cuentas, dijo Mandal. Pero, si las claves de acceso toman el control, será una transición lenta. Es probable que los servicios aún ofrezcan opciones de contraseña porque es a lo que los consumidores están acostumbrados, y las claves de acceso aún no tienen un soporte lo suficientemente amplio.
Mientras tanto, es un buen recordatorio para mantenerse al tanto de su configuración de seguridad. Si las claves de acceso no están disponibles, asegúrese de que MFA esté configurado y que su contraseña sea segura en lugar de simplemente evitar las ventanas emergentes de recordatorio de seguridad al iniciar sesión.
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado. Todos los precios son correctos en el momento de la publicación.