Passkey

Una passkey (literalmente, «clave de acceso» en inglés) es una credencial digital utilizada como método de autentificación para un sitio web o una aplicación.^[1][2][3] Es un tipo de autentificación sin contraseña promovido por el W3C y la Alianza FIDO.^[4] Las passkeys son habitualmente almacenadas por el sistema operativo o el navegador web y sincronizadas entre dispositivos pertenecientes al mismo ecosistema mediante la nube,^[1][5] aunque también pueden quedar confinadas a un solo dispositivo tal como una llave de seguridad física.^[2]

Las passkeys están diseñadas para ser más cómodas y más resistentes al phishing que los métodos convencionales de autentificación.^[4][6] Suelen asegurarse al usar la posesión (del dispositivo o de la llave de seguridad) como factor de autentificación, y a menudo también utilizan datos biométricos como factor adicional, ninguno de los cuales requieren que el usuario memorice una contraseña. En septiembre de 2023, más del 99% de los dispositivos son compatibles con WebAuthn, lo que ilustra una amplia preparación para la adopción de la tecnología passkey.^[7]

En el ámbito del marketing, se prefiere el uso del término passkey a otros términos relacionados como FIDO y WebAuthn por ser menos propenso a causar confusión.^[8] Es un error común suponer que las passkeys son exclusivas de los dispositivos de Apple.^[8]

Historia

Google y Apple popularizaron el concepto de passkey en mayo^[9] y junio de 2022,^[6][1] respectivamente, cuando anunciaron que irían añadiendo soporte al estándar de las passkeys. También Microsoft utiliza el término, por lo que debería tratarse como un nombre común (es decir, escrito en minúscula salvo al inicio de oración).^[8][2][4]

Google anunció en mayo de 2022 que Android y Google Chrome darían soporte a las passkeys para octubre del mismo año,^[10] y que les daría soporte en cuentas de Google personales para mayo de 2023.^[11]

Dashlane fue la primera empresa en habilitar el almacenamiento de passkeys en una extensión de navegador web, con su lanzamiento en agosto de 2022,^[5] seguida de NordPass en febrero de 2023,^[12] 1Password en septiembre de 2023,^[13] y Bitwarden en noviembre de 2023.^[14] En mayo de 2023, Google anunció la incorporación de passkeys en sus servicios de inicio de sesión.^[15]

Ventajas sobre la autenticación tradicional basada en contraseñas

Passkeys resuelven por diseño muchos de los problemas inherentes a la autenticación basada en contraseña:

• Como la parte privada de una credencial se genera automáticamente utilizando un algoritmo sensato con parámetros y aleatoriedad sensatos, y se almacena en un autenticador de confianza, desaparecen los siguientes problemas:
  • Contraseñas fáciles de forzar debido a una longitud insuficiente.
  • Contraseñas fáciles de adivinar mediante ataques de diccionario (por ejemplo, "password", "12345678", etc.).
  • Contraseñas fáciles de adivinar mediante ingeniería social (por ejemplo, fecha de nacimiento, domicilio, etc.).
  • Almacenamiento inadecuado de la contraseña en el lado del cliente (por ejemplo, escrita en una nota adhesiva, en un libro, en la lista de contactos del teléfono móvil, etc.).
  • Reutilización de contraseñas para diferentes sitios web, ya que se crean automáticamente diferentes credenciales para diferentes sitios web.
  • La necesidad de que los servidores apliquen criterios mínimos a las contraseñas sin limitar la usabilidad.
  • Los servidores establecen restricciones arbitrarias e inadecuadas sobre la longitud máxima de las contraseñas y el conjunto de caracteres permitido.
• Como la parte privada de una credencial nunca se almacena en una base de datos de un servidor, desaparecen los siguientes problemas:
  • Almacenamiento inadecuado de contraseñas en bases de datos (por ejemplo, en texto plano, o utilizando algoritmos o construcciones débiles o inseguras).
  • Posibles fugas de bases de datos que expongan las contraseñas.
• Como las credenciales son diferentes para cada sitio web, desaparecen los siguientes problemas:
  • Ataques de relleno de credenciales que combinan fugas de bases de datos con el común

Referencias

1. Shein, Esther (6 June 2022). «Apple touts Passkey, its new privacy feature, at WWDC 2022». TechRepublic (TechnologyAdvice). Consultado el 27 de abril de 2023.
2. «Passkeys (Passkey Authentication)». FIDO Alliance. FIDO Alliance. Consultado el 27 de abril de 2023.
3. «Passwordless login with passkeys». Google Developers. Google. Consultado el 27 de abril de 2023.
4. «Expansion of FIDO standard and new updates for Microsoft passwordless solutions». Tech Community. Microsoft. Consultado el 27 de abril de 2023.
5. «Ushering in the Passwordless Future at Dashlane». Dashlane. Dashlane. Consultado el 4 de mayo de 2023.
6. Clemons, Taylor (6 de junio de 2022). «WWDC 2022: Apple announces Passkey feature to eliminate passwords across platforms». ZDNET. Consultado el 27 de abril de 2023.
7. «Why PayPal's global Passkey Rollout makes sense: September 2023 Update & Insights into Passkey-Readiness». www.corbado.com (en inglés). Consultado el 25 de octubre de 2023.
8. Shakir, Umar (6 de agosto de 2022). «Reminder: passkeys are not just from Apple». The Verge (Vox Media). Consultado el 27 de abril de 2023.
9. «The beginning of the end of the password».
10. Nield, David (16 de octubre de 2022). «How to Use Passkeys in Google Chrome and Android». WIRED (Condé Nast). Consultado el 4 de mayo de 2023.
11. Burt, Jeff (4 de mayo de 2023). «Google opens up passkeys to personal account holders». The Register (Situation Publishing). Consultado el 4 de mayo de 2023.
12. «What Is a Passkey?». NordPass. Nord Security. Consultado el 4 de mayo de 2023.
13. «Now available: Save and sign in with passkeys using 1Password in the browser and on iOS | 1Password». 1Password Blog. 20 de septiembre de 2023. Consultado el 29 de septiembre de 2023.
14. Kingsley-Hughes, Adrian (8 de noviembre de 2023). «Bitwarden rolls out passkeys management to all users, including free accounts». ZDNET. Archivado desde el original el 10 de noviembre de 2023. Consultado el 10 de noviembre de 2023.
15. ThioJoe (28 de mayo de 2023). «Google Accounts Just Got an AWESOME New Feature». YouTube. Consultado el 17 de junio de 2023.

Enlaces externos

• Esta obra contiene una traducción derivada de «Passkey (credential)» de Wikipedia en inglés, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.