Como Apple está lanzando su actualización iOS 16 hoy, una de las características clave de seguridad que estará disponible para los usuarios es Passkey. Esta función permitirá a los usuarios usar sus dispositivos Apple para iniciar sesión en sitios web y servicios sin contraseñas.
¿Qué es Passkey?
Passkey es la implementación de la compañía de un estándar de la industria diseñado para eliminar contraseñas para la autenticación en línea. A principios de este año, Apple, Google y Microsoft se unieron a FIDO Alliance y el World Wide Web Consortium para trabajar en la eliminación de contraseñas para la autenticación de usuarios en todas las plataformas.
Apple anunció su propia versión de este estándar llamado Passkey en su Conferencia Mundial de Desarrolladores (WWDC) en junio. Apple dijo que Passkeys será compatible con macOS Ventura, iOS 16 y iPadOS 16.
Las claves de acceso pueden reducir los riesgos de compromisos de cuentas porque elimina las contraseñas, que pueden filtrarse, exponerse o robarse, del flujo de autenticación. Además, las claves de acceso no se reutilizan en todos los sitios como pueden ser las contraseñas, por lo que el riesgo de que las credenciales robadas afecten a otras cuentas es menor.
¿Cómo funcionará?
Passkey se basa en el estándar WebAuthn, por lo que los usuarios pueden usar autenticación biométrica como Face ID o Touch ID, o usar un PIN para validar un intento de inicio de sesión. En un nivel superior, en lugar de confiar en la combinación de nombre de usuario y contraseña, las claves de acceso utilizan su dispositivo para demostrar que usted es el propietario legítimo de la cuenta.
Si se dirige a un sitio web que ya ha implementado Passkey: como este sitio web de demostración — puede ver una nueva opción para iniciar sesión que utiliza dispositivos o credenciales almacenadas en su llavero de iCloud. Si no tiene una cuenta registrada previamente en el sitio, es posible que le solicite información básica y guarde la clave de paso en el llavero de iCloud, no se necesita contraseña. Una vez que registra una cuenta, la clave de acceso basada en iCloud se comparte entre los dispositivos Apple con la misma ID de Apple.
Todo esto se basa en las credenciales multidispositivo propuestas por FIDO que permiten a los usuarios almacenar claves de autenticación en todos los dispositivos, lo que permite a los usuarios iniciar sesión sin necesidad de una contraseña. Esto significa que debería funcionar en todas las plataformas, pero Google y Microsoft aún tienen que implementar la tecnología en sus plataformas.
Las claves de paso funcionan generando un par de claves: una clave pública y una clave privada almacenadas en el dispositivo. La clave pública se almacena en la nube y se comparte entre dispositivos que tienen sus propias claves privadas. Esto también asegura que si un servidor se ve comprometido, el atacante no tiene ambas claves para obtener acceso a las cuentas.
Cómo se generan y comparten las claves de paso. Créditos de imagen: Alianza FIDO
Los usuarios pueden administrar sus claves de acceso directamente desde Ajustes > contraseñas. No hay una sección separada para las claves de acceso almacenadas, pero los sitios web que usan claves de acceso aparecerán en esta sección. Las personas también pueden compartir fácilmente los detalles de su cuenta con un amigo tocando el botón Compartir en la pantalla de esa clave de acceso en particular y compartiéndola a través de Airdrop con un contacto cercano.
Entonces, ¿qué sucede después?
Actualmente, pocos sitios web admiten la autenticación basada en claves de acceso, pero es probable que aumente con el tiempo a medida que los desarrolladores comiencen a implementar claves de acceso en sus servicios. Inicialmente, las claves de acceso serán compatibles con Mac, iPad y iPhone. Si usa una máquina basada en Windows o Chrome o un teléfono Android, el sitio le pedirá que se verifique usando un código QR que puede escanear a través de su iPhone. Si los usuarios no quieren confiar en la copia de seguridad basada en iCloud, los administradores de contraseñas como Dashlane también han anunciado soporte para almacenar claves de paso.
Las llaves maestras todavía están en sus inicios. La mayoría de los sitios web populares aún se basan en la combinación de nombre de usuario y contraseña, por lo que un futuro sin contraseña aún está lejos.
Source link