Passkeys: el Paso hacia una Informática Más Segura

Por Mark Evilsizor
Tecnología

English

Los nombres de usuario y las contraseñas han sido el medio principal para acceder a las computadoras durante décadas. El sistema funcionó razonablemente bien cuando conducíamos al trabajo, nos identificábamos y nos dirigíamos a nuestras oficinas personales cerradas. Los malhechores habrían tenido dificultades para acceder a la máquina en nuestro escritorio.

Hoy, desde casa o en la playa, esas dos piezas de información aún nos permiten acceder a archivos de trabajo, pagar facturas, consultar cuentas bancarias, jugar juegos y realizar innumerables otras tareas. Desafortunadamente, esto significa que los malhechores también pueden hacer lo mismo. Hoy, alguien, sin esfuerzo y con poco riesgo de ser atrapado, puede enviar un correo electrónico malicioso a cientos de miles de personas desde el otro lado del mundo. Cualquiera que no note las señales y haga clic accidentalmente en un enlace para acceder a su sitio web falso dará a estos sinvergüenzas acceso libre a sus vidas.

La creación de contraseñas únicas de 12 o más caracteres, el uso de un administrador de contraseñas y la habilitación de la autenticación multifactor son formas sólidas de defenderse contra el pirateo, pero con múltiples contraseñas para administrar, tales precauciones toman tiempo y pueden ser una molestia.

Ahora, hay una mejor manera. Passkeys forma parte de un estándar de autenticación preparado para llevarnos más cómodamente a un lugar mejor, más fácil de usar y más seguro. Hoy quiero presentárselos.

Si le engañan con un correo electrónico de phishing, el hacker no podrá robar su contraseña porque usted ya no la usa.

Passkeys fue creado en 2022 por FIDO Alliance. FIDO (Fast Identity Online) es un grupo de organizaciones tecnológicas, financieras, sanitarias y de otro tipo que trabajan juntas para estandarizar una forma más segura y conveniente de iniciar sesión y acceder a la información. Es un estándar relativamente nuevo y está madurando rápidamente. No está listo para reemplazar todas las contraseñas, pero está disponible para usar con algunos sitios web y puede convertirse en la forma más común de iniciar sesión en los sitios en los próximos meses y años.

Básicamente, funciona así: cuando inicia sesión en un sitio web que admite llaves de acceso, se le ofrecerá la posibilidad de crear una llave de acceso para el sitio. Esta clave criptográfica se aloja en el dispositivo que está utilizando y está protegida por el sistema de seguridad de ese dispositivo. Por ejemplo, si yo inicio sesión en Gmail con mi computadora portátil con Windows, puedo crear una llave de acceso en ella. Como parte del proceso, muestro mi cara a la cámara de la computadora portátil (usando Windows Hello), que luego almacena la clave de forma segura. La próxima vez que yo necesite iniciar sesión en Gmail (u otros servicios de Google) en el dispositivo, puedo optar por iniciar sesión con una llave de acceso en lugar de una contraseña. Mi computadora portátil verifica que soy yo y da a Gmail la aprobación necesaria para iniciar sesión.

La mayoría de nosotros usamos múltiples dispositivos para acceder a los datos y administrar nuestras vidas. Es posible que tengamos una computadora portátil en casa, una computadora de escritorio en el trabajo, un Smartphone mientras viajamos y una tablet en el sofá. Si todos sus dispositivos son de Apple, la contraseña que configuró se sincronizará entre ellos y funcionará sin ningún esfuerzo adicional. Si, como yo, tiene una computadora portátil con Windows y un teléfono Apple, necesita un poco más de esfuerzo. Con los sitios de Google, puede optar por crear una llave de acceso en un dispositivo diferente. Puede usar Gmail en su computadora portátil y este mostrará un código QR que puede escanear en su teléfono inteligente para crear una llave de acceso. La próxima vez que necesite iniciar sesión en Gmail, se mostrará un código QR que su teléfono puede escanear y puede tocar para iniciar sesión.

Suena más complicado de lo que es, pero los beneficios son significativos. Como no usa una contraseña para iniciar sesión, si un correo electrónico de phishing lo engaña, el pirata informático no podrá robar su contraseña, porque ya no usa una, y la clave de paso no funcionará con el sitio web del malhechor. Y, en el futuro, si un sitio es vulnerado, su contraseña no puede ser robada porque no hay contraseña en el sitio web para robar.

La Alianza FIDO y las empresas participantes siguen mejorando las llaves de acceso y facilitando el trabajo con administradores de contraseñas para sincronizarse en varios dispositivos, pero ya es alentador pensar en un futuro en el que las contraseñas y el phishing ya no sean una preocupación diaria. Si le parece bien y desea probar un futuro más seguro, tómese cinco minutos, inicie sesión en su cuenta de Google y, en el área de configuración de seguridad, haga clic para crear una llave de acceso.

Mark Evilsizor ha trabajado en Tecnologías de la Información durante más de 25 años. Actualmente se desempeña como jefe de TI para la Biblioteca Linda Hall en Kansas City, Mo. Las opiniones expresadas son propias.