Las contraseñas que rigieron durante durante años y fueron y son una tortura para los pocos memoriosos, quedarán obsoletas. Google lanzó una nueva forma para que los usuarios accedan a sus cuentas en línea: los “passkeys”, basados en datos biométricos. Google anunció la incorporación de passkeys como “un sustituto más seguro y sencillo que las contraseñas” que elimina la necesidad de crear una larga serie de letras y números imposible de recordar o fácil de adivinar por los hackers y cometer delitos como el phishing. El cambio busca a la vez facilitar la vida del usuario y aumentar la seguridad de las cuentas.
Los passkeys o claves de acceso de Google resuelven el inconveniente de recordar una contraseña por cada cuenta o servicio. Este método de seguridad relaciona las claves de acceso a una cuenta con datos biométricos del usuario (escaneo del rostro o de una huella dactilar) para que no sea necesario escribir una contraseña cada vez que se inicie sesión. De esta forma, el acceso a perfiles de redes sociales u otros servicios web por parte de ciberatacantes disminuye.
Los requisitos básicos para usar esta nueva función de seguridad es que el dispositivo en el que se aplique debe tener o Windows 10 o macOS Ventura (o superiores), además que ejecuten versiones recientes de los navegadores (Chrome 109, Safari 16, Edge 109 o posterior). En caso de que se desee utilizar en un celular para proteger el acceso a las aplicaciones, se tendrá que activar el bloqueo de pantalla y el bluetooth para iniciar sesión en otros dispositivos.
Si el usuario cumple los requisitos entonces podrá activar los “passkeys” de Google con los siguientes pasos: Ingresar al sitio web “g.co/passkeys” e iniciar sesión con el perfil de Google que se desee proteger. Este proceso puede realizarse con diferentes cuentas.
A diferencia de las contraseñas, los usuarios no tendrán que inventar una clave para acceder a una cuenta. Si las claves de acceso o passkeys están activadas en su cuenta de Google, podrán crear una única para cada sitio al que accedan. En lugar de introducir una contraseña, sólo tendrán que verificar su identidad en un dispositivo de confianza con un PIN, una huella dactilar o un escáner facial.
Las nuevas claves no están pensadas para que los usuarios las recuerden, ni siquiera para que las conozcan. Las utiliza un servicio en línea para comunicarse directamente con el dispositivo y facilitar el inicio de sesión, según Associated Press. Como resultado, Google alega que sus cuentas serían mucho más difíciles de piratear. “La misma clave de acceso nunca se utiliza en más de un sitio”, dice el anuncio. “Los protocolos de passkey están cuidadosamente diseñados para que ninguna información compartida con los sitios pueda ser utilizada como vector de rastreo”.
Los passkeys están diseñadas para funcionar en la mayoría de los sistemas operativos, por lo que son útiles en un iPhone, Android, Mac y ordenadores Windows, según Google. En su blog, (https://security.googleblog.com/2023/05/so-long-passwords-thanks-for-all-phish.html) Google explica, que el usuario “puede crear y utilizar claves de paso en su cuenta personal de Google. Google no le pedirá su contraseña ni la verificación en dos pasos. Las claves de acceso (passkeys) son una alternativa más cómoda y segura a las contraseñas. Funcionan en todas las principales plataformas y navegadores, y permiten a los usuarios iniciar sesión desbloqueando su computadora o móvil con su huella digital, reconocimiento facial o un PIN local”.
“El uso de contraseñas impone mucha responsabilidad a los usuarios. Elegir contraseñas seguras y recordarlas en varias cuentas puede ser difícil”, admite Google. Además, incluso los usuarios más inteligentes a menudo son engañados durante los intentos de phishing. El mecanismo 2SV (2FA/MFA) ayuda, pero ejerce presión sobre el usuario con fricción adicional no deseada y no protege completamente contra ataques de phishing y ataques dirigidos como “intercambios de SIM” para verificación de SMS. Los passkeys o claves de acceso ayudan a solucionar todos estos problemas”.
Un dato importante: los datos biométricos nunca se comparten con Google ni con un tercero. El bloqueo de pantalla solo desbloquea la clave de acceso localmente. A diferencia de las contraseñas, las claves de acceso solo pueden existir en sus dispositivos. No se pueden escribir o dar accidentalmente. Cuando usa una clave de acceso para iniciar sesión en su cuenta de Google, le demuestra a Google que tiene acceso a su dispositivo y puede desbloquearlo. Las claves de acceso protegen contra el phishing y cualquier mal manejo accidental al que son propensas las contraseñas, como ser reutilizadas o expuestas en una violación de datos. “Esta es una protección más sólida que la que ofrecen la mayoría de los métodos 2SV (2FA/MFA) en la actualidad, por lo que le permitimos omitir no solo la contraseña sino también la 2SV cuando usa una clave de acceso o passkeys”, destaca Google.
