En un món en el qual hem de gestionar l’accés a desenes de comptes en línia, les contrasenyes estan cada vegada més lluny de ser l’opció més adequada. Reutilitzar les mateixes credencials d’inici de sessió, fàcils de recordar en totes aquestes aplicacions i llocs web és un dels errors més comuns que cometem. Aquesta bretxa de seguretat facilita als malintencionats endevinar o robar les nostres dades d’accés que, si són comuns en tots els nostres comptes, podria fer que tot el nostre món digital s’ensorri.
De fet, és sorprenent que les contrasenyes hagin durat tant de temps, això es deu, en gran part, a la falta d’alternatives eficaces. Unes de les possibilitats existents per a acabar amb aquest problema són les passkeys. Google acaba d’anunciar la compatibilitat d’aquesta nova tecnologia amb els comptes personals i de treball (igual que Apple i Microsoft), així que pot ser que estiguem molt prop d’una nova era d’inicis de sessió sense contrasenya.
“Els intents anteriors de millorar o actualitzar l’experiència i la seguretat de les contrasenyes no han acabat de triomfar. Desenvolupaments com l’autenticació de doble factor (2FA) contribueix significativament a fer més segures les contrasenyes, però la seva adopció dista molt de ser universal, ja que algunes persones consideren que el procés de doble verificació és difícil de manejar. A més, els codis d’un únic ús enviats als usuaris a través de missatges de text, que és amb diferència la variant més utilitzada de 2FA, poden ser interceptats” destaca Josep Albors, director de Recerca i Conscienciació d’ESET España.
Els gestors de contrasenyes, per part seva, fan una gran feina generant, emmagatzemant i recordant una contrasenya llarga, complexa i única per a cada lloc individual. Però no sempre cobreixen tots els dispositius, sistemes operatius i navegadors web, i és complicat gestionar la pèrdua de la contrasenya mestra. En alguns casos, l’experiència de l’usuari també pot ser una mica complicada.
Les passkeys, per part seva, són un estàndard del sector que els grans noms de la tecnologia esperen que algun dia substitueixi a les contrasenyes, la 2FA i la necessitat de gestió de contrasenyes tal com la coneixem avui dia.
Com funcionen les passkeys?
Les passkeys aprofiten el poder de la criptografia de clau pública. Aquesta opció consisteix en un parell de claus criptogràfiques -una privada i una altra pública- que es generen per a protegir el teu compte en un lloc web, una aplicació o un altre servei en línia. La clau privada s’emmagatzema en el dispositiu com una llarga cadena de caràcters xifrats, mentre que la clau pública es carrega en els servidors del servei en línia corresponents, per exemple, Google o fins i tot el sistema de gestió de contrasenyes iCloud keychain d’Apple.
En iniciar sessió en el teu compte de Google des del telèfon intel·ligent, Google genera una clau d’accés directament. A continuació, quan intentis accedir, es demana que autentiquis amb el teu PIN, empremta dactilar o un altre mecanisme de bloqueig de pantalla del dispositiu. No hi ha necessitat d’introduir o recordar cap contrasenya, la qual cosa immediatament fa que el procés sigui més segur i fàcil d’usar. En l’intent d’inici de sessió, el servidor envia un desafiament criptogràfic al dispositiu, demanant a la clau privada que el resolgui i el transmeti de tornada al servidor. Aquesta resposta s’utilitza per a verificar que els parells de claus pública i privada coincideixen, ja que tots dos són necessaris per a autenticar-se.
En cap moment les dades biomètriques surten del dispositiu, ni el servidor sap quina és la clau privada. De fet, l’usuari tampoc veurà mai la clau privada, ja que tot el mecanisme succeeix en segon pla i sense exigir esforç.
Quins són els avantatges de les claus d’accés?
La pregunta que sorgeix és si llavors, podrien les passkeys ser el “Santo Grial” de la facilitat d’ús i la seguretat? A continuació, destaquem de manera detallada els avantatges d’aquestes.
– Resistents a la suplantació d’identitat i a l’enginyeria social: Eliminen el problema de les persones que accidentalment revelen les seves credencials d’accés als ciberdelinqüents introduint-les en llocs web falsos. En el seu lloc, demanen a l’usuari utilitzar el seu dispositiu per a demostrar que és el veritable propietari del compte.
– Eviten les conseqüències d’una bretxa de tercers: Si un lloc web o un proveïdor d’aplicacions pateix una bretxa, només podrien robar les claus públiques, ja que les claus privades mai es comparteixen dins el servei en línia, i no hi ha manera d’esbrinar-la a partir de la clau pública.
– Evita els atacs de força bruta: Les claus d’accés es basen en la criptografia de clau pública, cosa que significa que els atacants no poden endevinar-les, ni utilitzar tècniques de força bruta per a desxifrar comptes.
– Sense intercepció 2FA: Amb les passkeys no hi ha un segon factor, per la qual cosa els usuaris no corren el risc de patir tècniques d’atac dissenyades per a interceptar codis SMS i similars. Aquestes són prou potents per a substituir fins i tot al 2FA, les claus de seguretat per maquinari.
– Es basen en els estàndards del sector: Es basen en els estàndards dels grups de treball FIDO Alliance i W3C WebAuthn, cosa que significa que haurien de funcionar en tots els sistemes operatius, navegadors, llocs web, aplicacions i ecosistemes mòbils participants. Apple, Google i Microsoft són compatibles amb aquesta tecnologia, igual que les principals empreses de gestió de contrasenyes, com 1Password i Dashlane, i plataformes com WordPress, PayPal, eBay i Shopify.
– Fàcils de recuperar: Poden emmagatzemar-se en el núvol i, per tant, restaurar-se en un nou dispositiu si es perd.
– No hi ha res a recordar: Per als usuaris, ja no hi ha necessitat de crear, recordar i protegir grans volums de contrasenyes.
– Funcionen en diversos dispositius: Una vegada creada, una clau d’accés pot utilitzar-se en nous dispositius sense necessitat de tornar a registrar-se cada vegada, com ocorre amb l’autenticació biomètrica habitual. No obstant això, hi ha alguns advertiments que es detallen a continuació.
Desavantatges de les passkeys
Existeixen alguns obstacles que, en última instància, impedeixen que de moment les passkeys s’adoptin de manera massiva. L’inconvenient més gran és l’adopció per part de la indústria i la forma en què se sincronitzen les passkeys.
Les passkeys només se sincronitzen amb dispositius que executin el mateix sistema operatiu, ja que com es detallava anteriorment, aquest tipus de claus se sincronitzen per plataforma de sistema operatiu. Això significa que si es té un dispositiu iOS, però també s’usa Windows, per exemple, podria ser una experiència una mica frustrant, ja que s’haurien d’escanejar codis QR i activar el Bluetooth perquè les passkeys funcionessin en dispositius amb sistemes operatius diferents. Això fa que en realitat el procés sigui més complicat que l’experiència actual amb les contrasenyes.
En el moment actual, l’adopció d’aquest procés de seguretat dista molt de ser generalitzat. Encara que algunes grans empreses ja han pujat al carro, encara és aviat per a parlar d’un ús massiu. A part de les grans plataformes, s’estima que encara passarà algun temps abans que la majoria dels llocs web i aplicacions siguin compatibles. Si vols comprovar si les teves plataformes preferides són compatibles amb aquesta tecnologia, pots fer-ho aquí.
Podria ser aquest el principi de la fi de les contrasenyes? Les claus d’accés són el competidor més fort fins avui, però per a aconseguir una acceptació gairebé universal entre els usuaris és possible que els proveïdors de tecnologia hagin de facilitar encara més el seu ús en diferents ecosistemes de sistemes operatius.
Per Tecnonews | @TecnoNewsInfo / AMIC