(+34) 910 42 42 93 [email protected]

PassKeys funcionamiento

Tanto por mi blog personal, como por estos lares, hablamos ya largo y tendido de las passkeys, la propuesta de la FIDO Alliance para terminar con el dominio absolutista de las contraseñas como sistema de verificación de identidad.

La razón no es baladí.

Las contraseñas se han posicionado como una herramienta relativamente cómoda y simple de gestionar la identidad de una cuenta o dispositivo.

¿El problema? Pues que la seguridad que ofrecen… no es que sea muy allá.

Y por dos motivos principales:

  1. Las contraseñas son un método de verificación de identidad basado en el conocimiento: Y como cualquier método basado en el conocimiento, requiere que el usuario RECUERDE la contraseña. Una contraseña que además debería ser diferente para cada servicio, y para colmo compleja, lo que complica aún más su recuerdo, e incentiva a que la mayoría de usuarios acaben utilizando contraseñas inseguras, muy simples y por tanto fácilmente «descubiertas» mediante ataques de ingeniería social o simple fuerza bruta.
  2. Su talón de Aquiles está su propio funcionamiento interno: Para colmo, da igual la seguridad que le pongas a su propia formulación, que basta con que el servicio sea atacado y puedan exfiltrar de forma masiva millones de contraseñas, para que esta se exponga. Esto ocurre por el simple hecho de que una contraseña no es más que un conjunto de caracteres alfanuméricos (con o sin signos), y por tanto, en su verificación simplemente se compulsa que lo que acaba de meter el usuario es igual que lo que ya se tenía. Al ser un simple array, es fácilmente manipulable en una base de datos, y por tanto, se corre el riesgo de que en un filtrado masivo se exponga tu contraseña.

Unes las dos y tienes como resultado de que indistintamente de la seguridad que le pongas a la contraseña, esta puede acabar expuesta por fallos de seguridad de terceros. Y al exponerse, como lamentablemente la mayoría de usuarios usan la misma contraseña, tienes el caldo de cultivo para que sea hoy en día considerado un sistema de verificación de identidad insuficiente.

Sin embargo, está claro que tiene cosas buenas, y una de ellas es que es muy fácil de implementar en cualquier sistema. Ahí es donde intenta atacar la FIDO con el PassKey, ya que están generando una serie de estándares para que los administradores de sistemas lo tengan bastante más fácil apostar por este «nuevo» sistema que por el ya clásico de usuario y contraseña.

passkeys
Ejemplo de las pantallas que veremos en dispositivos Android cuando nos intentemos identificar usando Passkeys

Pero cómo funcionan las PassKeys

Esto ya lo expliqué más en profundidad en este otro artículo, pero quédate con la idea de que son como un punto medio entre lo que históricamente ha sido una contraseña, y lo que históricamente ha sido un doble factor de autenticación.

¿La razón? Pues porque primero de todo, necesitamos para identificarnos mediante WebAuthn, un dispositivo que previamente se ha marcado como gestor de la llave de seguridad. Por regla general, nuestro móvil.

Con él en la mano, simplemente activamos el sistema de passkeys identificándonos con el sistema de identificación biométrica que ofrezca ese dispositivo (huella dactilar, reconocimiento facial…), y gracias a esto, se compulsa que las claves públicas que tenemos en el servicio concuerdan con las claves privadas que tenemos en el dispositivo.

  • Si es así, nos logueamos exitosamente.
  • Si no, pues tocará volver a intentarlo.

Por eso digo que es como un punto medio, ya que utiliza un sistema de verificación basado en la posesión (yo demuestro que soy yo ante este servicio porque tengo un dispositivo, mi móvil, que almacena las claves de identificación) para acceder a un sistema basado en el conocimiento (esas propias claves de identificación, que en vez de tener que recordarlas, las tenemos dentro del dispositivo).

Un segundo factor de autenticación, vaya, pero todo incluido en uno solo, sin ese doble paso.

Y por cierto, algo curioso, pero es que ya sabemos que para, por ejemplo, identificarnos desde el PC con nuestro móvil, tendremos que tener activo el bluetooth, que será el protocolo de comunicación que se asegurará de que en efecto tenemos cerca el dispositivo de PassKey.

Lo bueno de todo esto es que tanto Google, como Microsoft y Apple (además de muchísimas otras grandes compañías) parecen interesadas en dar el salto y apostar por este estándar, así que cuando entre en circulación, se espera una interoperatibilidad entre sistemas operativos prácticamente absoluta.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Monitorización y escucha activa

Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.

Planes de autoridad y Presencia Digital

Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.

Gestión de crisis reputacionales

Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.


Pablo F. Iglesias

Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.

Descarga gratis nuestro ebook de reputación online
Recibe de manera totalmente gratuita y al instante, el eBook que analiza un caso de estudio de mala gestión de crisis reputacionales, además de informes mensuales directamente en tu correo.
Descarga gratis nuestro ebook de reputación online
Recibe de manera totalmente gratuita y al instante, el eBook que analiza un caso de estudio de mala gestión de crisis reputacionales, además de informes mensuales directamente en tu correo.