Las cuentas de Google sin contraseña ya están disponibles; puede convertir a solo clave de paso

Al permitir cuentas de Google solo con clave de acceso, Google está dando un paso importante hacia nuestro futuro supuestamente sin contraseña. La entrada del blog con el título “El final de la contraseña finalmente está aquí, según Google, quien comenzó a implementar el soporte para claves de acceso en todas las plataformas principales para cuentas de Google. Serán una opción de inicio de sesión adicional además de las contraseñas, la verificación en dos pasos (2SV), etc. para los usuarios”. Como parte de la autenticación de dos factores, anteriormente podía usar una clave de paso con una cuenta de Google, pero siempre era además de una contraseña. Ahora se puede usar una clave de acceso para acceder a una cuenta de Google en lugar de una contraseña.

Si no está familiarizado con el nuevo mecanismo de autenticación, una clave de acceso es un nuevo método para iniciar sesión en aplicaciones y sitios web que algún día puede reemplazar a una contraseña. Los humanos ingresaron primero las contraseñas en cuadros de texto básicos, y cuando surgió la necesidad de una mayor seguridad, la automatización y la complejidad se injertaron gradualmente en esos cuadros de texto. La forma correcta de usar una contraseña hoy en día es hacer que un administrador de contraseñas coloque una cadena aleatoria de caracteres en el cuadro de contraseña. En el pasado, escribiría una palabra recordada en el campo de contraseña. Las claves de acceso eliminan el cuadro de contraseña porque pocos de nosotros realmente ingresamos nuestras contraseñas.

Passkeys utiliza el estándar » WebAuthn » para que su sistema operativo intercambie directamente los pares de claves públicas y privadas con un sitio web, que es la forma en que se autentica. La demostración de Google de cómo funcionaría esto en un teléfono se ve fantástica; el cuadro estándar solicita su nombre de usuario de Google, luego solicita una huella digital para desbloquear el sistema de contraseña e iniciar sesión.

Los dispositivos de los consumidores pronto podrán acceder a los servicios de Google sin contraseña, mientras que las cuentas comerciales de Google Workspace «pronto» podrán activar las claves de acceso para los usuarios finales.

Las claves de acceso aún no están listas para su uso generalizado

Aunque Google se ha comprometido totalmente con las claves de acceso, esto no implica que estén preparadas para un uso masivo. En primer lugar, algunos sistemas (incluidos Windows, Linux y Chrome OS) no están tan desarrollados como otros (como MacOS, iOS y Android). Todavía queda mucho trabajo por hacer, sin embargo, el sitio web oficial passkeys.dev ofrece una página útil que rastrea la preparación plataforma por plataforma. Sería horrible quedar bloqueado de su cuenta de clave de acceso de Google en Chrome OS, lo que es probable que suceda a menos que vuelva a convertir a una contraseña.

El segundo problema, que es que las claves de acceso se sincronizan a través del ecosistema de su sistema operativo en lugar de a través de un navegador, representa un retroceso significativo en la forma en que funcionan las contraseñas y no parece resolverse en el corto plazo. Las claves de acceso no funcionan de la misma manera que las contraseñas en la actualidad; si agrego una contraseña a Chrome en Windows, se podrá acceder instantáneamente a ella en todos mis dispositivos con Chrome instalado, incluido mi teléfono Android, Macbook, iPhone, Chromebook, etc.

Las claves de acceso están «sincronizadas con todos los demás dispositivos del usuario que ejecutan la misma plataforma de sistema operativo», según la página de FIDO Alliance [nuestro énfasis]. Esto significa que si agrego una clave de acceso a Chrome en Windows, solo se sincronizará con otros sistemas operativos de Microsoft porque se agregará al almacén de claves de acceso del proveedor del sistema operativo, Microsoft. Todo se sincronizará y no notarás la diferencia si solo usas productos Apple. Para el resto de nosotros, usar Windows y Android, Android y Linux, o cualquier otra combinación de proveedores de sistemas operativos cruzados, requerirá un código QR y un proceso de transferencia controlado por Bluetooth. Las grandes corporaciones tecnológicas que controlan las claves de acceso no parecen estar motivadas para hacerlas tan sencillas y prácticas como las contraseñas, lo que supondrá una barrera importante para su adopción generalizada.

Todo este problema de sincronización lo confirma 1Password, “Por el momento, las claves de paso en otras plataformas exigen que verifiques usando un dispositivo del mismo ecosistema. Es laborioso y menos seguro sincronizar con otros sistemas operativos o proporcionar claves de acceso cuando hay soluciones alternativas disponibles, como códigos QR”. Las aplicaciones como 1Password pueden o no haber recibido una invitación a la fiesta de claves de acceso de Big Tech. Aunque 1Password afirma ser miembro de FIDO Alliance, un video en la página dedicada a las claves de acceso afirma que las claves de acceso no son lo suficientemente abiertas. Del video: “La apertura e interoperabilidad que prometen las tecnologías actuales no se cumplen. Crear una contraseña en un dispositivo iPhone o Android hoy en día es esencialmente imposible. Compartirlo, moverlo a otra plataforma o sincronizarlo con su administrador de contraseñas favorito no son tareas simples. Podemos mejorar.

Hay muchas palabras «podría» y «debería» en el sitio web de claves de acceso de 1Password, pero se está desarrollando una solución y debería estar disponible «este verano».

Tener una regresión multiplataforma tan significativa en la configuración predeterminada, que es lo que la mayoría de la gente usaría, limitará sustancialmente el atractivo de las claves de acceso, incluso si la empresa logra resolver el problema de la sincronización de claves de acceso para su propia aplicación.

Listado de imagen por Google