La seguridad informática está al borde de una revolución con la llegada de las claves de paso. Estas claves de acceso pretenden sustituir a las contraseñas. En muchos criterios, son superiores a ellos.
¿Llave maestra? ¿Qué es exactamente?
Passkey es un término en inglés que se puede traducir como «clave de acceso» o «código de acceso». También podemos oír hablar de “clave de identificación”. Este es un nuevo proceso para iniciar sesión en una cuenta, ya sea en un sitio web o en una aplicación. En definitiva, es una especie de contraseña, pero de una generación completamente nueva. A muy largo plazo, la clave de acceso pretende precisamente sustituir a la contraseña.
Las claves de acceso no son contraseñas. Es un mecanismo que se basa en pares de claves criptográficas, un campo denominado criptografía asimétrica. Se trata de dos claves, una privada (que se mantiene en secreto) y otra pública (que se distribuye). Este es un enfoque común en la seguridad informática, por ejemplo, con el cifrado de extremo a extremo de las aplicaciones de WhatsApp o Signal.
¿Por qué se tuvieron que crear las claves de acceso?
Hace tiempo que sabemos que los internautas no son de una disciplina impecable a la hora de crear una buena contraseña nueva. Son demasiado cortos, demasiado reutilizados de un sitio a otro, demasiado comunes. Además, los sitios también pueden cometer errores: almacenarlos en claro o sufrir una fuga de datos. También es un objetivo constante de intentos de phishing (phishing) en correos electrónicos, SMS o formularios en línea.
La seguridad se ha basado en contraseñas durante décadas. Ciertamente, se ha avanzado. Cada vez más plataformas rechazan códigos demasiado débiles. La autenticación fuerte hizo posible agregar otra capa, al validar una conexión con una segunda acción a realizar (ingresar un código temporal o validar una solicitud de acceso en un dispositivo). Pero, estas son solo adiciones a un sistema existente. La clave de paso sale de este marco.
« Estos pares de claves mejoran profundamente la seguridad “, considera Apple, que se ha embarcado en la aventura. Microsoft y Google también. Las fugas de datos no se detendrán repentinamente y la higiene de las contraseñas está progresando moderadamente. Por lo tanto, ya es hora de patear el hormiguero y construir un proceso de conexión completamente nuevo.
¿Cuáles son las ventajas de la clave de paso en comparación con la contraseña?
Las claves de paso tienen varias ventajas sobre las contraseñas:
- No es necesario memorizarlos;
Estos códigos de identificación (para claves privadas) se almacenan exclusivamente en dispositivos que pertenecen a la misma persona, básicamente, aquellos que inician sesión en la misma cuenta, por ejemplo, de Google, Microsoft o Apple. Estos códigos se pueden sincronizar entre dispositivos. Los terminales, en definitiva, se convierten en una especie de gestores de contraseñas (passkeys, precisamente). Ellos son los que memorizan todo.
- Las claves de acceso son seguras de forma predeterminada;
Los códigos de identificación no son de los que se reúnen en toto123 o horrores similares. Cada tecla es lo suficientemente larga y fuerte (para hacerse una idea, parecen a este tipo de gilipolleces) para que no se pueda adivinar. Tampoco son reutilizados o débiles. Estos son códigos únicos. Después de todo, exactamente lo que se debe hacer con sus contraseñas.
- Las fugas de datos no son un problema (para las claves de paso);
Los servidores no alojan en ningún momento las claves privadas vinculadas a las claves de paso. Sólo tienen acceso a las claves públicas. Es imposible usar uno para encontrar el otro. Por lo tanto, estos datos son menos interesantes para los piratas informáticos. Para tener las claves privadas, sería necesario apuntar al dispositivo de cada internauta. La tarea es demasiado difícil para una acción a gran escala. Sin embargo, lo que siempre puede filtrarse son otros datos personales.
- Se contrarresta el phishing;
No hay más contraseñas con las claves de acceso, por lo que no hay nada que suplantar aquí. Los códigos de acceso están intrínsecamente vinculados a la aplicación o sitio para el que fueron creados. Incluso si una aplicación fraudulenta o un sitio trampa imita perfectamente la aplicación o el servicio legítimo, el sistema detectará que hay un problema con el dominio. Notará la ausencia de una clave pública (que no está en posesión del sitio amañado, sino del sitio legítimo).
Como funciona ?
Básicamente, las claves de acceso funcionan así: en el sitio o la aplicación de su elección, solicita generar estas claves de acceso, si el dispositivo es compatible, por supuesto. Estas teclas funcionan en pares. : uno es público, que lo guarda el sitio o la aplicación donde te registras, el otro es privado y se almacena en tu dispositivo (una computadora o un teléfono inteligente).
Como explican los profesores de seguridad informática Paul Haskell-Dowland y Steven Furnell en un artículo de La conversación« las dos claves están vinculadas, pero una no se puede utilizar para obtener la otra «. Este es un elemento crucial: por lo tanto, si el sitio web donde se encuentra su cuenta está comprometido, la clave pública por sí sola será inútil. Siempre se perderá la clave privada.
Después de la creación de su cuenta, la conexión al sitio procede de la siguiente manera: en lugar de escribir una contraseña, su dispositivo que almacena la clave privada sirve como intermediario para validar (y verificar) su conexión. Para ello, puede recurrir al desbloqueo biométrico del smartphone (huella digital, rostro), una solución cada vez más común en los dispositivos modernos.
Cuando la etapa biométrica haya pasado con éxito, el dispositivo usará la clave privada para probar su identidad en el sitio, a través de un complejo «desafío» matemático para resolver, detallan los dos profesores. » En ningún momento se envía su clave privada por internet al sitio web “, señalan. Solo la «respuesta» al desafío se transmite al sitio web y se verifica a través de la clave pública.
¿Son seguras las claves de paso?
¿Pueden las claves de acceso proporcionar un nivel completo de seguridad? No. En este campo, nunca hay una solución absolutamente perfecta. Sin embargo, lo que importa es si las claves de acceso son un verdadero paso adelante respecto a una situación existente, como las contraseñas, sin sacrificar la comodidad. En general, es mucho mejor.
« A diferencia de las contraseñas, estas claves son resistentes al phishing, aún ofrecen un alto nivel de seguridad y no requieren el uso de ningún secreto compartido. “, desarrolla Apple en sus páginas de explicación. « No se transmite ningún secreto compartido y el servidor no necesita proteger la clave pública. » Los riesgos se mitigan en gran medida.
Por supuesto, hay muchos escenarios que pueden superar la protección conferida por las claves de acceso, pero este es el modelo de amenaza más común para el usuario promedio de Internet. Esto es lo que señalan los dos profesores de seguridad informática: un atacante tendría que comprometer la tecnología biométrica vinculada al dispositivo, lo que requiere un esfuerzo importante.
« Para explotar una combinación biométrica/clave privada, un delincuente primero tendría que obtener su dispositivo y luego falsificar con éxito su rostro o huella digital (o forzar su mano), lo cual es poco probable para la mayoría de los usuarios. “, detallan. Afortunadamente, no todos tienen fantasmas o mafiosos pisándoles los talones.
La robustez de las claves de paso también es mucho más interesante para hacer frente a ataques de fuerza bruta (que consisten en probar todas las combinaciones para dar con la correcta) o de ingeniería social (suplantar a un servicio técnico y obtener la clave de comunicación). Además, una fuga en el sitio A no tiene impacto en los demás, porque cada clave de paso es única.
Los internautas tampoco necesitan recordarlo, lo que evita la mala costumbre de anotarlo en cualquier parte y evita que sea entregado sin darse cuenta a un correo electrónico oa un sitio fraudulento. Muy claramente, el balance beneficio/riesgo ahora es muy favorable para las llaves maestras. es potencialmente un cambiador de juego para toda la seguridad informática en Internet.
¿Cómo hacer que las claves de acceso sean un éxito?
El éxito de las claves de paso depende de varios factores, empezando por el de la universalidad y la compatibilidad: será imprescindible que dispositivos, sitios, aplicaciones, servicios puedan dialogar entre sí de forma fluida, para que podamos, por ejemplo, utilizar un iPhone como un mecanismo de desbloqueo para una computadora con Windows.
Las claves de acceso se encuentran en una etapa muy preliminar de su existencia, por lo que aún no está todo listo y funcional. La buena noticia es que Microsoft, Google y Apple están colaborando en estas claves de acceso para que los entornos de todos no estén aislados. Sería un desastre si una clave de acceso generada a través de Android no pudiera emplearse en otro lugar.
La comodidad de uso también es clave, porque no todo el mundo es un nerd sysadmin biclassified hacker y master dev. Muchos no quieren ensuciarse las manos y pasar por una primera fase de configuración preliminar que dura tres horas. Ni codearse con una interfaz incomprensible. Para que funcione, tendrá que ser simple y sobrio.
Si sin duda se va a recurrir a la tecnología biométrica para que sea la palanca central para el uso de claves de paso, también habrá que considerar soluciones alternativas. Para las personas que se niegan a utilizarlo, pero también en el caso de que se utilicen dispositivos que no estén equipados con los sensores adecuados. Esto podría ser un código PIN o una clave de seguridad.
También habrá que abordar otras cuestiones: ¿cómo revocar una clave de acceso a favor de un nuevo código? ¿Cómo sincronizar estas claves entre dispositivos legítimos de la misma persona? Las empresas que se han embarcado en este sistema ya están abordando algunas de estas preguntas. Por ejemplo, Apple proporciona sincronización entre dispositivos a través de iCloud Keychain.
¿Qué pasa con las contraseñas? ¿Cuál será su futuro?
Si bien las claves de acceso pueden ser el futuro de la seguridad informática, es un futuro que no ocurrirá en el corto plazo. Podemos suponer esto al observar la velocidad con la que la doble autenticación se está extendiendo entre el público en general: no todos la usan, mientras que las soluciones han estado disponibles para todos durante años en varios sitios y servicios.
Las dos soluciones también deberían coexistir durante mucho tiempo. Por lo tanto, los administradores de contraseñas no deben preocuparse en el futuro inmediato, incluso si los principales comenzaron el año pasado a adaptarse para ser también administradores de contraseñas. Este es el caso de Dashlane, 1Password, LastPass y Bitwarden, en particular.
La larga cola de la adopción de claves de acceso promete extenderse diabólicamente y, al hacerlo, las contraseñas no se dejan ni mucho menos al alcance de la mano. Una vez pasada la ola de early adopters, será necesario enganchar el switch del público en general, empresas, instituciones públicas y todo lo que utilice contraseña. Nada dice que todo el mundo va a dar el paso.
¿Quieres saberlo todo sobre la movilidad del mañana, desde los coches eléctricos hasta las pedelecs? ¡Suscríbase ahora a nuestro boletín Watt Else!
