Las contraseñas son un mal necesario, sin ellas, no podríamos ingresar de forma segura a nuestras cuentas. Sin embargo, también son responsables de muchos problemas de seguridad. Y aunque existen otros métodos que le agregan capas extra de seguridad, como la autenticación de dos fases (2FA) y la verificación por SMS, todavía siguen siendo inseguras. Todavía pueden hackearse o ser víctimas de phishing.
Por eso, el pasado 3 de mayo, un día antes del Día Mundial de las Contraseñas, la Big Tech Google lanzó passkey, una alternativa más segura para iniciar sesión en tus cuentas. Ya puedes olvidarte de recordar números y combinaciones de tu cumpleaños y fecha de nacimiento, porque ahora podrás ingresar usando una clave de acceso.
Este es un paso más cerca para construir un futuro sin contraseñas.
Este movimiento no es sorpresivo, porque en el 2022, Google, en compañía de otras empresas, como Apple y Microsoft, se unieron a la alianza Fast IDentity Online (o FIDO Alliance).
Esta alianza, que cuenta con 250 miembros, fue creada en el 2012 con el objetivo de eliminar las contraseñas y usar otros sistemas ya integrados en los dispositivos para la autenticación y seguridad.
FIDO Alliance sigue los estándares de W3C, la institución que fija los estándares de la web, la cual definió dos estándares para la autenticación sin contraseña:
- WebAuthn: Una API del navegador que permite autenticarse sin contraseña.
- CTAP (Client to Authenticator Protocol): Protocolo de comunicación entre el usuario y el servicio en línea al que quiere autenticarse sin contraseña.
¿Y como funcionaría un mundo sin contraseñas?
Todo parte del cifrado de información, que es un método que se utiliza para proteger la información. La idea es transformar la información original en un formato ilegible, llamado "texto cifrado", que solo las personas que tienen la clave puedan leerla.
Por ejemplo:
- Si se envía “Hola EDteam”, llega “12ABC37?”.
Existe muchos tipos de cifrados, pero entre ellos, existe el cifrado simétrico y el cifrado asimétrico.
El cifrado simétrico consiste en aplicar una clave secreta antes de enviar un mensaje, que cambiará las letras del mensaje original y lo transformará en un mensaje cifrado, que solo podrá ser entendido por quién conozca la clave.
En el caso del cifrado asimétrico, en lugar de una clave compartida, se usan dos claves diferentes: una pública y una privada. La pública se comparte con cualquier persona que quiera enviar el mensaje, mientras que la privada, la guardas para ti mismo (en secreto). Cuando alguien quiere enviarte un mensaje, lo cifra con tu clave pública, y, con tu clave privada, solo tú puedes descifrarlo.
Este es el mismo principio para poder tener un mundo sin contraseñas, claro, solo con algunas pequeñas variaciones.
¿Todavía con dudas?
Para que entiendas mejor. Imaginemos que quieres entrar a EDteam y se hace una petición al servidor, el cual te enviará un mensaje cifrado con la clave pública. Para descifrarlo, tienes que usar tu clave privada, la cual está bloqueada por biometría en tu dispositivo. Es decir: huella, reconocimiento facial, PIN, entre otras cosas.
Por eso, en el momento en el que el servidor envía ese mensaje cifrado, te pide tu biometría, para descifrar el mensaje. Entonces, metes tu huella digital o cualquier otro método, que libera tu clave privada, que se encarga de confirmar tu identidad y te permite ingresar a EDteam.
Y ahora que entiendes como funcionan las claves de acceso, o passkey, que Google acaba de implementar, puedes correr a activarlo en tu cuenta para que tengas más seguridad.
Este paso que acaba de dar Google es gigantesco y nos acerca mucho más a un mundo sin contraseñas, porque Google es uno de los servicios más usados para autenticación a nivel global. Sin embargo, esta aspiración todavía está en proceso, por lo que todavía puedes seguir usando tu contraseña tradicional (usuario y clave).
Y si no lo sabías, #LoAprendisteEnEDteam, porque en español, #NadieExplicaMejor.
Amplía esta información aquí 👇