ARTDEPARTMENT
ARTDEPARTMENT
Las contraseñas son un asco. Son difíciles de memorar, pero peor aún es corretear a adivinar los códigos de tus cuentas más importantes. Ahí es donde entran en gozne las passkeys. En los últimos dos abriles, la convocatoria "refriega contra las contraseñas" ha despegado contra titanes como Google, Microsoft y Apple impulsando un futuro sin contraseñas que la Alianza FIDO, un consorcio creado para "ayudar a resumir la excesiva dependencia mundial de las contraseñas", lleva más de una plazo intentando hacer efectividad.
Te guste o no, en algún momento se te pedirá que crees una passkey, y es probable que ya lo hayas hecho. Eso es bueno, ya que las claves de llegada no solo son mucho más fáciles de usar que una contraseña tradicional, sino que igualmente son mucho más seguras. Aquí tienes todo lo que necesitas memorizar sobre su uso.
Las passkeys ofrecen una forma de confirmar que eres quien dices ser sin tener que memorar una contraseña larga y complicada, y de una guisa que es resistente a los ataques comunes a las contraseñas como el phishing y los ataques de diccionario. "Las passkeys están pensadas para sustituir por completo a las contraseñas y a las formas obsoletas de autenticación de dos factores", explica a WIRED Andrew Shikiar, director ejecutante y CEO de la Alianza FIDO. Representan un avance poco habitual en ciberseguridad; no solo son más fáciles de usar que los métodos anteriores, sino igualmente más seguras.
eBay vía Jacob Roach
Conceptualmente, las passkeys pueden adoptar muchas formas, pero lo más habitual es que interactúes con ellas en un dispositivo propio. Por ejemplo, imagina que quieres obtener a tu cuenta de Google en un dispositivo nuevo. En punto de introducir una contraseña, una secreto de llegada te permite obtener a tu cuenta con un dispositivo que ya hayas verificado. Puedes utilizar tu teléfono como passkey, lo que te permitirá obtener a tu cuenta de Google de forma instantánea sin tener que introducir nunca una contraseña. Las mejores implementaciones de passkeys ni siquiera necesitan un nombre de sucesor.
Las passkeys resultan más seguras y prácticas que las contraseñas porque funcionan de una forma fundamentalmente distinta. En el mundo de la ciberseguridad, las contraseñas son lo que se fogosidad un "secreto compartido". Tú conoces el secreto y el servicio al que te conectas igualmente. El problema es que tienes que memorar ese secreto y no lo controlas totalmente, ya que tienes que compartirlo con el servicio que estés utilizando. Una filtración de datos y un poco de tiempo de descifrado es todo lo que se necesita para rematar con una cuenta comprometida, y ni siquiera has hecho mínimo malo.
Las passkeys utilizan criptografía de secreto pública. En punto de hacer coincidir un secreto compartido, la criptografía de secreto pública funciona haciendo coincidir un par de claves: una secreto pública que cualquiera puede ver y una secreto privada a la que solo tú tienes llegada. Es más segura porque solo tú tienes llegada a tu secreto privada, y es más obvio porque esa secreto está vinculada a algún dispositivo de tu propiedad y suele estar protegida con datos biométricos.
Los partidos contrarios al oficialismo aseguran que esta estatuto representa una amenaza para la privacidad y una vía para atestiguar el espionaje ministerial.
Las passkeys son seguras, incluso más que una contraseña larga y aleatoria. Cuando inicias sesión con una contraseña, envías un puñado de información al servicio al que te estás conectando, incluida tu secreto pública, que se almacena como una representación de ti como sucesor. Esta información por sí sola no hace mínimo.
En el dispositivo donde creaste la passkey, tendrás que participar en un "desafío" para desbloquear tu secreto privada, normalmente alguna forma de autenticación biométrica. Si tienes éxito, se firma y se envía de reverso al servicio al que intentas obtener. A continuación, se coteja con la secreto pública y, si coincide, se te da llegada. Lo más importante es que esta autenticación se realiza en tu dispositivo, no en un servidor venidero.
Con una contraseña, un atacante tiene muchas posibilidades de robarla. Las filtraciones de datos pueden sacar a la luz tu contraseña, e incluso si está encriptada, puede ser descifrada. Los esquemas de phishing son un vector de ataque obvio para los hackers que buscan robar contraseñas. Adicionalmente, si utilizas un servicio con prácticas de seguridad poco seguras, tu contraseña podría estar expuesta como texto plano en una brecha; hay docenas y docenas de ejemplos de que esto ya ha ocurrido ayer.
Las passkeys son complicadas porque van en contra de las convenciones de seguridad que existen desde hace abriles, es sostener, la autenticación de dos factores (2FA) o la autenticación multifactor (MFA). Aunque no es necesario introducir un código de texto o copiar poco de una aplicación de autenticación, las passkeys utilizan intrínsecamente la autenticación multifactor. Simplemente ocurre tan rápido que es obvio pasarlo por detención.
MFA consiste en añadir capas adicionales de protección más allá de tu contraseña. En punto de tu contraseña, necesitas esta y un código que te envíen por SMS. Las passkeys ya funcionan así. Tienes que hacer coincidir el par de claves pública-privada, pero igualmente tienes que autenticar que tienes llegada a esa passkey, normalmente con datos biométricos. No se alcahuetería de "poco que sabes y poco que posees", como suele describirse la 2FA, pero siguen siendo dos capas de autenticación.
Compartir este artículo
Consultoria Personalizada
¡Si aun no tienes presencia en internet o
necesitas ayuda con tus proyectos, por favor, escribenos!
En ARTDEPARTMENT nos especializamos en brindar soluciones para que tu negocio, empresa o proyecto sea visible en internet.