Apple, Google, Microsoft y otras empresas del sector quieren sustituir las contraseñas de los sitios web y las aplicaciones por “claves de acceso” que sólo requieren que se desbloquee el dispositivo. A partir de este miércoles, Android y Google Chrome admitirán el inicio de sesión con claves de acceso (passkeys).
“Las passkeys son un reemplazo significativamente más seguro para las contraseñas y otros factores de autenticación de phishing. No se pueden reutilizar, no se filtran en las violaciones del servidor y protegen a los usuarios de los ataques de phishing”, mencionó Google.
Google equipara la experiencia de uso de las contraseñas a la de los gestores de contraseñas existentes, como el suyo propio, en el que basta con confirmar el código de acceso o la huella dactilar del dispositivo para que se introduzcan automáticamente las credenciales guardadas. Del mismo modo, las passkeys tienen una copia de seguridad y se sincronizan con Google Password Manager para “evitar bloqueos en caso de pérdida del dispositivo”.
Este miércoles se anunciaron dos funciones para los primeros usuarios que se inscriban en la beta de Google Play Services y utilicen Chrome Canary, y el lanzamiento estable se producirá “a finales de este año”:
1- Los usuarios pueden crear y utilizar claves de acceso passkeys en dispositivos Android, que se sincronizan de forma segura a través de Google Password Manager.
2- Los desarrolladores pueden crear soporte para claves de acceso en la web con Chrome, a través de la API WebAuthn, en Android y otras plataformas.
Para crear una clave de acceso (1-2) en un servicio compatible, se debe confirmar la información de la cuenta de la clave de acceso y luego se desbloquea el dispositivo con la huella dactilar, la cara o el código de acceso. Del mismo modo, el inicio de sesión (3-4) sólo implica seleccionar la cuenta correcta y desbloquear el teléfono.
Si se quiere utilizar el inicio de sesión en una computadora de escritorio o portátil con una clave de acceso en tu teléfono, este proceso implica escanear un código QR:
“Por ejemplo, un usuario de Android puede iniciar la sesión en un sitio web con clave de acceso utilizando Safari en un Mac. Del mismo modo, un usuario de Chrome en Windows puede hacer lo mismo utilizando una clave de acceso almacenada en su dispositivo iOS”.
Además del lanzamiento de estas funciones en el canal estable, este año Google también lanzará una API para aplicaciones nativas de Android, de modo que las aplicaciones móviles puedan aprovechar las claves de acceso web.
“Las passkeys creadas a través de la API web funcionarán sin problemas con las apps que estén afiliadas al mismo dominio, y viceversa. La API nativa ofrecerá a las aplicaciones una forma unificada de permitir al usuario elegir una clave de acceso, si la tiene, o una contraseña guardada. Esta experiencia compartida para ambos tipos de usuarios facilita la transición a las claves de acceso”.
Microsoft y Apple también prometieron su apoyo a las claves de acceso en mayo, lo que significa que una vez implementadas, estas nuevas credenciales de autenticación web (también conocidas como credenciales FIDO) permitirán a los usuarios a iniciar sesión en sus cuentas sin usar contraseñas.
“Para iniciar sesión en un sitio web en un ordenador, solo será necesario el teléfono cerca y simplemente se pedirá que este sea desbloqueado para acceder”, dijo Sampath Srinivas, Director de Google PM para la Autenticación Segura.
“Incluso si un usuario pierde su teléfono, sus claves de acceso se sincronizarán de forma segura con su nuevo teléfono desde una copia de seguridad en la nube, lo que le permitirá continuar justo donde lo dejó en su antiguo dispositivo”, agregó.
Es probable que las nuevas capacidades estén disponibles en las principales plataformas, dispositivos, sitios web y aplicaciones operadas por Google, Microsoft y Apple durante el próximo año.