Passkeys es la implementación del estándar FIDO en las plataformas de Apple. Gracias a Passkeys podemos olvidarnos de las contraseñas e identificarnos de forma extremadamente segura en sitios y servicios.
Cómo funciona Passkeys: seguridad ante todo
Antes de hablar del uso de Passkeys en sí, creo que es importante recordar qué nos ofrece. Además de la comodidad de poder olvidarnos para siempre de cualquier contraseña, la lista es de lo más interesante.
- Passkeys no se puede filtrar en ataques o fallos de seguridad en servicios y servidores.
- Passkeys es extremadamente resistente al phishing.
- Podemos usar Passkeys en cualquier dispositivo, también en aquellos que no sean de Apple.
- Se sincroniza entre nuestros dispositivos gracias al cifrado de extremo a extremo y iCloud.
- Reemplaza por completo el antiguo sistema de contraseñas.
- No necesitamos usar un 2FA para asegurar la cuenta.
Y la idea detrás de Passkeys es realmente simple, pues se basa en algo que ya usamos en nuestro día a día siempre que enviamos un mensaje, por ejemplo: el cifrado de extremo a extremo. Concretamente en las claves asimétricas que lo hacen posible.
Sin entrar en detalles demasiado técnicos, diremos que, una clave asimétrica es, en realidad, un par de claves íntimamente relacionadas entre ellas de forma matemática. Una clave, la privada, es secreta, mientras que la otra, la pública, puede ser compartida libremente.
La magia, si se me permite esta expresión, está en que matemáticamente se puede firmar un mensaje de forma que el poseedor de la clave pública puede comprobar que ha sido el poseedor de la clave privada y nadie más quien ha emitido este mensaje. Al mismo tiempo, el poseedor de la clave pública puede cifrar un mensaje que solo el poseedor de la clave privada puede descifrar.
Así, con Passkeys, cuando nos registramos en un sitio, nuestro dispositivo genera de forma local y segura un par de claves y se queda con la clave privada en el llavero de iCloud mientras envía la clave pública. Gracias a esta distribución, cuando iniciamos sesión el sitio puede emitir un reto para nosotros que solo nosotros podremos entender (descifrar) y recibir una respuesta que solo nosotros podemos enviar (gracias a la firma). Un sistema de autenticación ultra seguro.
Cómo es la experiencia de uso: comodidad y rapidez
Usar Passkeys es realmente sencillo. Cuando nos registramos por primera vez en un sitio o servicio, basta con que escojamos un nombre de usuario y toquemos Registrar. Inmediatamente, Safari nos muestra un mensaje como el que vemos en la captura superior. Aquí simplemente utilizamos Face ID o Touch ID para verificar y listo.
Hecho esto, el proceso de iniciar sesión es igual de simple. Tocamos el botón de Iniciar sesión en el sitio y Safari nos muestra un mensaje como el de encima de estas líneas. Aquí, de nuevo, simplemente nos identificamos mediante Face ID o Touch ID y ya estamos dentro. Si disponemos de varias cuentas o usuarios para un mismo sitio o servicio, como ocurre en este caso, el mismo cuadro de diálogo de inicio de sesión nos permitirá elegir cuál de ellos queremos utilizar.
Bien. Ahora las cosas se ponen interesantes. Estamos ante un ordenador o dispositivo que no es nuestro y queremos iniciar sesión. ¿Cómo lo hacemos? Muy fácil. En el sitio en cuestión tocamos el botón de Iniciar sesión como hasta ahora. Cuando el sistema nos pregunte con qué cuenta, tocamos el botón de Otras opciones de inicio de sesión.
Seleccionamos que queremos usar un iPhone, iPad o dispositivo Android para iniciar sesión y nos aparece un código QR. Aquí solo tenemos que acudir a la cámara de nuestro iPhone o iPad para que reconozca el código y nos ofrezca iniciar sesión. Igual que haríamos normalmente, simplemente seleccionamos la cuenta que queremos utilizar y nos autenticamos con Face ID o Touch ID. Automáticamente, veremos que la sesión se inicia en el dispositivo original, el que no era nuestro.
Lo cierto es que con Passkeys todo son ventajas. Un sistema que deja atrás las contraseñas y las sustituye por algo resistente al phishing, que no necesita 2FA (pues ya combina algo que sabemos, nuestra clave privada, y algo que tenemos, nuestro dispositivo), que no se puede filtrar en ataques o fallos de seguridad y que, como acabamos de exponer, es realmente muy cómodo de utilizar. Y, además, basado en un estándar de modo que todos los navegadores y dispositivos serán compatibles en breve. Por fin podemos decir adiós a las contraseñas.
Ver 27 comentarios
27 comentarios
Usuario desactivado
¿Y en caso de fallecimiento o inhabilitación de algún tipo (parálisis, por ejemplo) del dueño del dispositivo, cómo se podría acceder a él? Para familiares cercanos esto podría ser importante.
mane72
Venga David, no nos dejes con la miel en los labios, dinos donde lo has probado, ¿cuantas paginas son compatibles?, ¿cuantos servicios?
Gracias
calegret
Por lo que he leído, se basa en un estándar y cuando lo he probado en esta web: https://apple-passkey.demo.hanko.io/register desde un ordenador Windows, ¡Sorpresa! puedo iniciar sesión con Windows Hello. Conclusión: Apple no ha inventado nada nuevo. esto ya existía. Passkeys es prácticamente igual que Windows Hello. (Sí, ahora me diréis que si la seguridad, bla bla bla..., pero a la practica, es lo mismo)
Pero me sumo al comentario que he leído por aquí. Esto debería ser universal para todas las plataformas y no tener una marca en concreto ya que con eso solo tienen un claro objetivo, que luego seas dependiente de una marca por sus servicios/ecosistema y cambiar a otra marca sea complejo y se te quiten las ganas.
PD: En la presentación oficial de este servicio en la web de Apple, muestran como se puede iniciar sesión desde un Windows. Pero primero necesitas de un dispositivo Apple para poder realizar la verificación y segundo y no menos importante, necesitas usar el navegador Safari para poder usar este servicio. ¿Quien usa Safari en Windows? Alguien habrá, pero estaremos todos de acuerdo de que no es para nada habitual.
Que cada uno saque sus conclusiones.
Saludos!
webgeda
Buenos días: y en los sitios que ya estemos registrados ¿no se puede actualizar nuestro usuario a este nuevo sistema?
Gracias
pacoberu
Y si te quedas sin el dispositivo? Lo pierdes o te lo roban?,
Spino
Por lo que estoy entendiendo, no es mucho más que una autenticación por certificado digital autofirmado por el dispositivo desde el que te das de alta… tendré que leer más, seguramente, porque eso presenta ciertos riesgos de seguridad si sólo es así… ya que a nivel criptográfico es súper seguro (con la clave pública es computacionalmente imposible sacar la privada si se usa un algoritmo razonablemente complejo) pero no estás identificando al usuario que realiza el alta… para darte de alta en un blog basta y sobra… pero para un servicio más sensible entiendo que acabará pasando por un 2FA para validar que estás accediendo desde el dispositivo que dices que accedes, ya que la clave si es reutilizable no puede llevar información del dispositivo… no se si me explico
punk84
Está muy bien, ojalá que comiencen a implantarlo pronto y se normalice su uso.
Uti
¿Passkey es una app nueva que viene con el S.O., iOS o mACOS?
church1987
Y para los que usan Windows nada no? Solo quedará en el iPhone y Max
Por el momento creo que seguiré con 1Password que sigue siendo multiplataforma