Olvídate de las contraseñas: Llega la clave de acceso Beta a Chrome y Android

Big Tech quiere eliminar la contraseña, siendo las “claves de paso” el nuevo estándar de reemplazo de contraseñas en el bloque. Las claves de acceso están respaldadas por Google, Apple, Microsoft y FIDO Alliance, así que espera verlas pronto en todas partes.

iOS adoptó el estándar en la versión 16 y ahora Google está lanzando versiones beta de claves de acceso en Chrome y Android.

El argumento de la clave de acceso es que las contraseñas son antiguas e inseguras. Las contraseñas de las computadoras se concibieron originalmente como un secreto fácil de recordar para que los humanos lo escribieran en un cuadro de texto.

A medida que surgió la necesidad de una mayor seguridad, llegaron los administradores de contraseñas, lo que facilita guardar y recuperar sus contraseñas.

Ahora, en lugar de una frase memorable para los humanos, la forma ideal de usar una contraseña es hacer que una computadora genere una cadena de caracteres salvajes y nunca reutilizar esa contraseña en ningún otro lugar.

Sin embargo, la revolución del administrador de contraseñas es todo un truco, construido sobre ese cuadro de texto original. Realmente ya no necesitamos el cuadro de texto y ahí es donde entran las claves de paso.

Las claves de acceso solo intercambian claves criptográficas de WebAuthn con el sitio web directamente. No es necesario que un ser humano le diga a un administrador de contraseñas que genere, almacene y recupere una contraseña secreta.

Todo el proceso sucederá automáticamente. La desventaja es que, si bien todos los navegadores del mundo admiten mostrar ese cuadro de texto antiguo, será necesario agregar compatibilidad con claves de acceso a todos los navegadores web, administradores de contraseñas y sitios web. Y eso va ser un largo viaje.

La única elección extraña que hizo Big Tech con las claves de acceso es que lo que autentica su acceso a un sitio web es tu teléfono, no el administrador de contraseñas en cualquier dispositivo que esté usando actualmente.

Esta comunicación entre el teléfono y el cliente tampoco se realiza a través de Internet como la autenticación de dos factores: El dispositivo que estás utilizando debe tener Bluetooth para que tu teléfono pueda hablar con él localmente.

Bluetooth se usa para asegurarse de que tu teléfono esta cerca del dispositivo y para iniciar una sesión de red (más segura que Bluetooth) y mantener la comunicación local garantiza que personas aleatorias en Internet no puedan iniciar sesión en tus cuentas, pero también bloqueará a una gran parte de computadoras de escritorio.

Google dice que los esfuerzos de la clave de paso han alcanzado “un hito importante”. Si te registras en la versión beta de Play Services, ahora puedes crear y usar claves de acceso en dispositivos Android y Chrome Canary ahora admite claves de acceso para sitios web.

Google dice que las implementaciones estables para Chrome y Android estarán disponibles más adelante, pero quiere que los desarrolladores comiencen a desarrollar ahora mismo.

Google también compartió algunos detalles de cómo va a funcionar esto. La solución de Google tiene sus claves de acceso almacenadas en Google Password Manager.

Primero, una ventana emergente en tu teléfono te pedirá que elijas una cuenta y luego te autentifiques con algún tipo de biométrico, como el desbloqueo de huellas dactilares.

El teléfono se comunicará con el cliente a través de Bluetooth, el navegador desbloqueará la clave de paso y luego la enviará al sitio web. Si el cliente es tu teléfono, entonces será un poco más sencillo.

Por alguna razón, el ejemplo de Google implica iniciar todo el proceso con un código QR. Supongo que eso es solo un truco rápido para la versión beta.

Pero para que la ventana emergente de la clave de acceso aparezca primero en tu teléfono, Google hace que la computadora muestre un código QR y luego el teléfono lo escanea.

Al igual que con Google Prompt u otras formas de 2FA, en el futuro, se espera que la ventana emergente inicial de la clave de acceso se abra automáticamente a través de Internet.

Además de los lanzamientos estables para Android y Chrome, lo siguiente para Google es una API para aplicaciones nativas de Android y una API de Android para que los administradores de contraseñas de terceros se conectan.

Google está poniendo el inicio fundamental en esto, pero en el futuro la clave de acceso debería funcionar en todos los ecosistemas; por lo que un iPhone podría enviar una clave de acceso a Chrome o un teléfono Android podría enviar una clave de acceso a Safari.

Relacionados

Deja un comentario

Salir de la versión móvil