¿Cuánto tiempo pasas recordando tus contraseñas? ¿Crea nuevas claves de seguridad cada año y presta atención a la solidez de la seguridad en función de las secuencias de caracteres y números? Probablemente no, porque las empresas de seguridad encuentran contraseñas inseguras con demasiada frecuencia en sus bases de datos cada año. La mayoría de las contraseñas son demasiado simples, nunca se cambian y se pueden descifrar en minutos.
Por lo tanto, es encomiable que Apple haya anunciado un nuevo método de autenticación conocido como Passkey para reemplazar las contraseñas. En la web, el nuevo método está fuertemente ligado al ecosistema de Apple, lo cual es una pena. Esto se debe a que con Passkeys, Apple simplemente presentó su propia forma de administrar nuevas credenciales de WebAuthn.
Porque las “claves de acceso” no son solo para los usuarios de Apple
Has leído bien. Las claves de acceso no son un invento exclusivo de Apple, aunque sonaron así en la WWDC 2022. Son la marca interna de Apple para un nuevo tipo de inicio de sesión, que fue desarrollado por FIDO Alliance. Apple no forma parte de la alianza, pero según ellos se ha asociado con Google y Android, entre otros, y sigue los estándares FIDO para sus claves de paso. Tarde o temprano, casi todos los usuarios de Internet se beneficiarán del uso de claves de acceso.
La idea básica es implementar inicios de sesión utilizando claves de seguridad en lugar de contraseñas. Desde el punto de vista del usuario, los inicios de sesión se protegen mediante métodos biométricos que permiten comparar las claves de seguridad con el servidor. Si ya está usando Face ID y Touch ID para desbloquear su llavero de iCloud, significa que muy poco cambiará en términos de iniciar sesión en sus cuentas.
Si bien los inicios de sesión en iOS hoy en día ya son tan convenientes como en el próximo período cuando las claves de acceso se generalicen, existe un inconveniente importante. Por el momento, solo permita que el llavero de iCloud copie su contraseña en la pantalla de inicio de sesión. A partir de ahí, se pasa al operador del servidor. Todavía existe el riesgo de que sus contraseñas puedan ser recolectadas a través de ataques de intermediarios (MITM) o de otra manera.
El phishing, es decir, la estafa de contraseñas que finge ser un servicio de emergencia muy importante u otras tácticas de ingeniería social, también es posible con este método. Actualmente, puede copiar fácilmente las contraseñas de su llavero y pegarlas en cualquier mensaje de correo electrónico si ha caído en una estafa.
Esta es la razón por la cual la gestión de Passkey y Apple es tan segura
Entonces, en cierto modo, el uso de teclas de acceso también lo protege del peligro proverbial de simplemente sentarse frente a su pantalla. Básicamente, se basa en dos claves de seguridad: una pública y otra privada. La clave pública reside en el servidor después de la configuración, mientras que la clave privada siempre permanece en el dispositivo utilizado para iniciar sesión. El truco radica en la fórmula matemática utilizada en la que se basa el método.
Como escribió Popular Science, esto fue diseñado para que la clave privada no tenga que transmitirse al servidor durante los intentos de inicio de sesión. Esto mantiene su clave de acceso segura incluso en caso de ataques MITM o hackeos exitosos en servidores corporativos. Las claves de acceso se basan en el estándar WebAuthentification (WebAuthn), que se ha utilizado durante mucho tiempo para inicios de sesión sin contraseña en la web.
Entonces, si todo esto ya está disponible, la pregunta es: ¿por qué todos actúan como si Apple hubiera reinventado la contraseña?
¿Por qué todos actúan como si Apple hubiera reinventado la contraseña?
¡Oye, buena pregunta! Lo que realmente le puedes dar crédito a Apple: son los primeros en usar claves de acceso en todos los dispositivos. Al mismo tiempo, ofrecen una interfaz de programación de aplicaciones, o API, para sus claves de paso. Para permitir el acceso a través de Passkey, los sitios web y los servicios primero deben crear los requisitos previos, por supuesto. Con Apple ofreciendo sus nuevos sistemas operativos iOS 16, watchOS 9, iPadOS 16 y macOS 13 como beta para desarrolladores seis meses antes del lanzamiento, es posible que la disponibilidad en el lanzamiento ya esté programada para muchas aplicaciones y dispositivos. En cualquier caso, Apple ya ha presentado sus propias credenciales WebAuthn para la WWDC 2021.
Las claves de acceso también están firmemente vinculadas al llavero de iCloud. Puede iniciar sesión desde cualquier dispositivo Apple en el que se haya registrado con su ID de Apple. Dado que Apple usa cifrado de extremo a extremo para su llavero y no conoce las claves de seguridad, la página de soporte indica que este es un lugar seguro para que residan las claves de acceso.
El sistema también está protegido con autenticación de dos factores. Por lo tanto, si desea registrarse para obtener una nueva clave de acceso, deberá confirmar este procedimiento una vez más en un dispositivo Apple o a través del navegador web ingresando un código de seis dígitos.
Apple no (re) inventó el inicio de sesión sin contraseña, simplemente lo implementó de forma inteligente y segura. Además, los dispositivos de Apple se usan tanto que el avance de Cupertino será un buen incentivo para que los servicios y sitios web se actualicen a WebAuthn.
¿Las claves de acceso harán que sea imposible cambiar a Android y Windows?
El cambio de Apple a Passkeys todavía me preocupaba un poco durante la transmisión en vivo. Parecía que Apple volvería a respaldar su “jardín amurallado” con metileno. ¿La introducción de claves de acceso no hace que sea casi imposible usar dispositivos que no sean de Apple o escapar del cosmos de Apple?
Si bien aún no está del todo claro qué tan cerca será la integración de Passkeys de Apple, hay tres argumentos en contra de mi temor.
1: Durante la conferencia de desarrolladores, Apple mostró brevemente cómo serán posibles los inicios de sesión en dispositivos que no sean de Apple. En la pantalla de una computadora portátil con Windows, puede ver un código QR donde debe escanearse con un dispositivo Apple para iniciar sesión. Luego podrá iniciar sesión en Windows y Android también, pero necesita tener su iPhone o iPad con usted.
2: Ya puedes acceder a tu llavero de iCloud en Windows. Todo lo que tienes que hacer es instalar la aplicación iCloud y verá un programa correspondiente en su PC. El desbloqueo funciona a través del servicio de autenticación de Windows conocido como Windows Hello y, por lo tanto, también a través de un método de inicio de sesión biométrico. Sin embargo, dudo que este sistema sea lo suficientemente seguro para las claves de acceso de Apple. Esto se debe a que Windows se basa en un PIN como respaldo, que consta de solo cuatro dígitos en el peor de los casos.
3 :: El estándar WebAuthn, como ya se mencionó, no es propiedad de Apple y seguramente se podrá usar de forma nativa con Android, Windows y otros sistemas operativos en el futuro. Esto significa que puede asignar nuevas claves de seguridad para los inicios de sesión con el fin de obtener acceso a los sitios web. Si bien difieren de las claves sincronizadas de Apple, no hay diferencia en la administración después de la instalación. Después de todo, solo inicia sesión con el sensor de huellas dactilares o el reconocimiento facial de todos modos.
En pocas palabras: las claves de acceso son revolucionarias, pero no las de Apple.
Resumamos los desarrollos una vez más. Independientemente de Apple, WebAuthn hará que los inicios de sesión web sean más seguros. Después de demasiado tiempo, nuestros datos ya no dependen de cuánto tiempo o capacidad mental invertimos en mantener nuestras contraseñas. Además, el estándar ofrece una protección confiable contra el phishing, la piratería e incluso el tipo de empresa al que elegimos acceder.
Apple está dando un gran paso en este sentido al convertirse en la primera compañía en implementar el servicio en todos los dispositivos. Al mismo tiempo, la empresa está aprovechando su ecosistema cerrado para hacer que los inicios de sesión con clave de paso sean una empresa segura y asequible.
La decisión de Apple de presentar las claves de acceso como un tema importante en la conferencia de desarrolladores, sin usar su nombre, también es un movimiento brillante. En cierto modo, Apple está cosechando los laureles que FIDO Alliance ha sembrado y hecho crecer en sociedad.
Después de todo, si Android o Windows anuncian soporte para Passkeys pronto, el público definitivamente lo asociará con Apple como creador.
Touche, Apple. ¡Touché!
Fuentes: