No más contraseñas: cómo las claves de acceso reemplazarán su contraseña

May 15 2023
Para evitar ambigüedades se utilizarán los siguientes términos; autenticador; El teléfono móvil que se utiliza para realizar el inicio de sesión en el sitio web; El sitio web o la aplicación que el usuario está utilizando para realizar el servicio de solicitud de inicio de sesión; El proveedor que proporciona el servicio dado, por ejemplo

Para evitar ambigüedades se utilizarán los siguientes términos;

autenticador ; El teléfono móvil que se utiliza para realizar el inicio de sesión

sitio web ; El sitio web o la aplicación que el usuario está utilizando para realizar la solicitud de inicio de sesión

servicio ; El proveedor que proporciona el servicio dado, por ejemplo, Google Mail, Microsoft Outlook

¿Cuál es el problema con las contraseñas?

Las contraseñas son sinónimo de nuestro uso de Internet, las usamos para iniciar sesión en nuestros correos electrónicos, cuentas de redes sociales o para consultar nuestros saldos bancarios. Se nos recuerda establecer contraseñas complejas 'buenas' y cada sitio tiene su propia definición de lo que es bueno.

A pesar de estos esfuerzos, las contraseñas siguen siendo una debilidad ya que muchos usan contraseñas débiles y/o la misma contraseña en todas las cuentas. A menudo, algunos son víctimas de sitios web que fingen ser servicios genuinos, lo que se conoce como phishing. Aquí es donde los usuarios hacen clic en un enlace que creen que es genuino pero que, de hecho, es un sitio web falso creado para robar la contraseña del usuario.

Los sitios web falsos de 'phishing' muy buenos también pueden engañar a los usuarios para que utilicen la autenticación multifactor (MFA) si el tipo de MFA no está diseñado para ser resistente a los ataques de phishing. Sin embargo, tener cualquier MFA es mejor que no tener MFA en absoluto.

¿Qué son las claves de paso?

Las claves de paso reemplazan a las contraseñas y están diseñadas para ser resistentes a los ataques de phishing. También hacen que el proceso de inicio de sesión sea mucho más fácil para los usuarios, además de ser más seguro.

Tomemos a Batool como ejemplo, ha estado usando una contraseña para iniciar sesión en su cuenta de Gmail. Al pasar a una clave de paso, puede iniciar sesión usando su huella digital o su rostro. La contraseña se convierte en un método alternativo en caso de que no pueda usar la clave de acceso (las contraseñas eventualmente se retirarán en algún momento).

Las claves de acceso utilizan el concepto de claves privadas y públicas , en lugar de una frase de contraseña, Batool ahora tiene una clave privada que su teléfono móvil crea, almacena y administra sin problemas. Esto podría ser a través de una aplicación de autenticación o dentro del sistema operativo.

El teléfono de Batool sabe cómo cargar automáticamente su nueva clave pública en Gmail, como parte de su creación de Passkey con Gmail.com.

Gmail ahora conoce la clave pública de Batool y, por lo tanto, le pedirá que confirme que es suya pidiéndole a Batool que desbloquee su teléfono y lo firme con su clave privada.

Todo esto sucede en segundo plano entre Gmail.com y su teléfono, Batool solo necesita preocuparse por usar su huella digital o desbloqueo biométrico facial como lo haría normalmente. Es posible que tenga que seleccionar qué clave de paso usar si tiene muchas cuentas diferentes de Gmail.com configuradas.

Los sitios web falsos ahora son una amenaza menor ya que no tienen la clave pública de Batool y, por lo tanto, ella no puede iniciar sesión. Recuerde que la clave privada nunca sale de su teléfono móvil.

Entonces, ¿cómo pasa Batool de una contraseña a una clave de paso?

El siguiente diagrama muestra cómo Batool pasa de usar una contraseña a una clave de paso para su cuenta de Gmail.

Batool crea una clave de paso

1- Batool inicia sesión en el servicio (Gmail) con su nombre de usuario y contraseña.

2- Gmail ahora admite claves de acceso, se envía una solicitud a Batool para crear una clave de acceso o es posible que deba navegar a g.co/passkeys .

3- Aparece una notificación para crear una clave de acceso.

4- Batool elige crear una clave de acceso y se le solicita que desbloquee su teléfono mediante la opción biométrica, esto le permite a su teléfono crear de forma segura una nueva clave de acceso para Gmail.com y almacenarla de forma segura para ella.

5- La clave privada está vinculada a su perfil de usuario, es decir, sincronizada entre sus dispositivos. En este ejemplo, Batool está usando un iPhone, por lo que puede sincronizarse usando iCloud. Sin embargo, diferentes proveedores pueden utilizar métodos alternativos, es decir, Microsoft Authenticator o Google Password Manager.

6 - Se envía la clave pública correspondiente a Gmail.

7- Google SOLAMENTE almacena esta clave pública y se usa en futuros intentos de inicio de sesión para validar las firmas firmadas de Batool.

Mientras Batool usa su huella dactilar o su rostro para usar la clave de paso, esto es como desbloquear el dispositivo o iniciar sesión en la banca en línea: la representación digital de su huella dactilar o su rostro NUNCA sale del teléfono móvil , se almacena cifrada en el teléfono y no se puede accedido por Gmail o quien haya fabricado el dispositivo, como Apple o Android.

Ahora que Batool tiene una clave de acceso, ¿cómo funciona el proceso de inicio de sesión?

El siguiente diagrama muestra cómo Batool iniciará sesión en su cuenta de Gmail utilizando su clave de paso.

Batool inicia sesión con su clave de paso

1- Batool navega hasta el sitio web de inicio de sesión de un servicio determinado, Gmail en este caso.

2- Batool ha creado previamente una clave de acceso (ver arriba) para Gmail, por lo que se envía un desafío desde el servicio de Gmail.

3- El desafío se recibe en el teléfono de Batool y aparece como una lista de claves de acceso disponibles del servicio, es decir, si Batool tiene más de una cuenta de Gmail, aparecerán dos claves de acceso.

4- Batool selecciona la clave de paso para su cuenta de Gmail y luego usa datos biométricos para desbloquear su teléfono móvil, esto luego permite que su teléfono use la clave privada.

5- El desafío de Google se firma luego con la clave privada de Batool.

6- Luego se envía un desafío firmado a Google, lo que brinda una gran confianza de que Batool está iniciando sesión.

7 - Google usa la clave pública de Batool para confirmar el inicio de sesión exitoso.

Cuando inicie sesión en Google a partir de ahora, Google le pedirá la clave de acceso siempre que sea posible. Si Passkey no está disponible, Batool aún puede usar su contraseña de Google.

Esto es parte de un cambio gradual a Passkeys a medida que más servicios adopten Passkeys, esperamos ver un futuro sin contraseñas y una mayor resistencia al phishing.

Apple, Google y Microsoft están colaborando para aumentar el conocimiento y la adopción de Passkeys con más información sobre esto aquí .

Muchas gracias a Joel Samuel y Ali Sarraf por revisar este artículo.