Google ya ofrece a un número limitado de usuarios la posibilidad de elegir por defecto la opción de ‘saltar contraseña cuando sea posible’, y autenticarse mediante el sistema de passkeys, que ofrece tanto ventajas de seguridad como funcionales.
Así, al conectarse el usuario le aparece un mensaje que le permite utilizar esta novedosa herramienta, para evitar tener que escribir una contraseña con caracteres, ni siquiera la primera vez que se registre en un sitio web o servicio online.
¿Cómo funciona Passkeys en Google?
De hecho, se trata de un sistema que ya se puede usar desde hace un tiempo en Chrome y Android, para lo que tan solo se precisa ir a la cuenta de usuario de Google, pinchar en la pestaña de ‘Seguridad’ y seleccionar ‘Llaves de acceso’ (passkeys).
Tras introducir la contraseña de Google (de momento esto sí que sería necesario hasta que la configuración por defecto esté disponible para todos los usuarios), aparece un listado con los dispositivos vinculados a la cuenta, y habría que ir pulsando en la opción de ‘crear llave de acceso’, y ya dependiendo del aparato elegido adicionalmente se tendría que solicitar acceso al sistema de identificación biométrica.
De este modo, vemos que Google para verificar al principio la identidad de los usuarios utilizaría un doble factor de autenticación, basado en este caso en algo ‘que se sabe’ (la contraseña) y algo ‘que se es’ (reconocimiento biométrico). Aunque al configurar Passkeys desde un terminal móvil puede usarse ya en otros dispositivos asociados a la cuenta.
Este nuevo sistema es sencillo, permite prescindir de introducir contraseñas para autenticarse y es totalmente seguro al generar a tiempo real claves cifradas distintas en cada ocasión. Si bien, siempre partiendo de la base de un reconocimiento inicial del usuario mediante biometría, huella dactilar o patrón de desbloqueo.
A pesar de que Google ha sido pionera en adoptar esta herramienta, no se trata de un desarrollo propio, sino que es fruto de un proyecto de la Alianza FIDO, en la que también participan otros gigantes tecnológicos como Apple y Microsoft.
¿Qué ventajas tiene Passkeys?
Passkeys opera con claves criptográficas de cifrado asimétrico WebAuthn, un método que ha sido también creado a medida para el uso de este nuevo tipo de contraseñas por un proyecto de la Alianza FIDO.
Así, siguiendo este modelo, mediante la creación de una llave de acceso o passkey en un dispositivo del usuario, este podría emplearla tanto en este terminal como en todos los demás para acceder a sus servicios online, en lo que supondría una alternativa mucho más cómoda, rápida y robusta a las contraseñas tradicionales.
Los sistemas clásicos de autenticación son el método más común a la hora de iniciar sesión en cualquier cuenta online, y como sabemos resultan especialmente vulnerables cuando no se adoptan pautas para la creación de contraseñas seguras, como por ejemplo la utilización de claves alfanuméricas que combinen mayúsculas y minúsculas reforzadas por la introducción de caracteres especiales.
Precisamente para facilitar la adopción de autenticaciones robustas, Google fue pionera en la implementación de herramientas como los gestores de contraseñas, que actualmente se pueden utilizar en la mayoría de servicios en línea, con excepciones como los financieros o los relacionados con los trámites con la administración.
Asimismo, como sabemos el ecosistema actual de ciberamenazas invita a la aplicación de capas adicionales de protección como el doble factor de autenticación, empleado en los sistemas de verificación en dos pasos para iniciar sesión en dos interacciones, que requieren que el usuario se identifique con algo ‘que sabe’ (por ejemplo una password convencional), y con algo ‘que tiene’ (por ejemplo una clave temporal recibida en un dispositivo), o bien que acredite ‘quién es’ (huella dactilar o reconocimiento biométrico).
La seguridad como principal valor añadido de las passkeys
La principal aportación de las passkeys sería la seguridad, más allá de la comodidad, ya que su naturaleza de llaves criptográficas cifradas evita el almacenamiento de contraseñas como texto plano por proveedores de servicios digitales poco cuidadosos, con lo que se acabaría con una de las principales fuentes de vulnerabilidad de una información tan crítica, muy codiciada por los ciberdelincuentes, que como sabemos se han prodigado mucho en ciberataques que explotaban precisamente esta brecha de seguridad.
Con todo, pese a que más servicios importantes como WhatsApp están adoptando passkeys, lo cierto es que para decir adiós por completo a la contraseñas tradicionales todavía pasará un tiempo, ya que para ello este nuevo modelo tendría que ser aplicable de manera universal tanto en todos los navegadores y dispositivos, como en la totalidad de servicios online que requieran un registro, incluidos los financieros o los relacionados con trámites de la administración, sujetos a protocolos de implementación más lentos.
Además, cabe recordar que tal y como está configurada ahora mismo la herramienta Passkeys de Google sería necesaria al menos una autenticación tradicional inicial en uno de los dispositivos, para poder generar las llaves de acceso que posibiliten iniciar sesiones en las cuentas del usuario sin más cortapisas que las que acabamos de referir.
