android google passkeys

Hemos hablado de este tema hasta la extenuación.


Las contraseñas como elemento de identificación funcionan, pero lo hacen a costa de resultar una carga para el usuario.

A fin de cuentas, se trata de un método de verificación de identidad basado en el conocimiento (yo demuestro ser yo gracias a que sé algo, la contraseña, que solo debería saber yo).

Sobre el papel es perfecto, ya que por ejemplo, y a diferencia de los sistemas basados en la inherencia (como los biométricos), nadie puede forzarte a pasarlo. Al menos no directamente (tortura aparte, quiero decir).

Pero en un entorno en el que:

  • Cada vez usamos más servicios, y cada uno requiere una contraseña ÚNICA.
  • Los controles de seguridad de una contraseña son limitados, por eso de que una contraseña no es más que un array de caracteres alfanuméricos, y por tanto, fácilmente atacable mediante técnicas de fuerza bruta, descubrimiento inteligente en base a patrones o bibliotecas.

Conclusión: El sistema falla.

Y falla porque o bien el usuario es incapaz de crear diferentes contraseñas para cada servicio, y además acordarse de cuál usó en qué servicio, o bien porque los sistemas de identificación no están correctamente diseñados para minimizar el impacto de los ataques a los que el paradigma de contraseñas es débil.

Frente a esto, cómo no, surgen otras alternativas.


A saber:

  • Un gestor de contraseñas: Que, básicamente, es una herramienta que pasa el sistema de identificación basado en el conocimiento de una contraseña… a uno basado en la posesión (yo demuestro ser yo porque TENGO ACCESO a una herramienta que demuestra quién soy).
  • El segundo factor de autenticación: Que no es otra cosa que acompañar a la contraseña (recordemos, un sistema ampliamente conocido y sencillo de implementar) con otro sistema de identificación, normalmente basado en la posesión, mediante un SMS o token que nos llega a nuestro smartphone (un dispositivo que solo deberíamos tener nosotros).

Este último acercamiento es, de lejos, el más seguro, ya que tiene algunas otras ventajas respecto al resto, como el hecho de pasar de un escenario de riesgo global (hackean un servicio y se exponen los pares de credenciales de millones de usuarios, entre ellos el tuyo) a uno local (aunque el cibercriminal tenga gracias a ese ataque tus credenciales de acceso, va a necesitar además hackearte o robarte físicamente el móvil para poder acceder a tu cuenta).

Y es por ello que la tendencia, al menos estos últimos años, ha sido la de incluirlo en cada vez más servicios por defecto.

Ahora bien, hay margen para la innovación.

Y en esto parecen estar trabajando algunos como Google y Apple.

Sobre el paradigma de claves de acceso de FIDO Alliance

Según 9to5Google (EN), hay indicios en el código fuente de una reciente versión de Google Play Services que apunta al trabajo de Google en la implementación de un sistema basado en «claves de acceso», desarrollado por la FIDO Alliance, y que probablemente acabaría también llegando a dispositivos de Apple, al formar esta también parte de esta organización.

La idea detrás de las claves de acceso es la siguiente:


FIDO funcionamiento

Básicamente, cuando queremos registrarnos o identificarnos en un servicio, esta API generaría (o revisaría) unas claves de acceso (privada y pública). Comparte la pública con el servicio en cuestión, y ambos realizan una prueba junto con la clave privada que tiene el propio servicio (o que ha creado en el caso de que nos estemos registrando por primera vez), y si se hace match, el usuario está dentro.

Estas claves, por cierto, se guardarían en los servicios en la nube de Google y Apple respectivamente, por lo que en la práctica estarían siempre disponibles (al menos cuando tengamos conexión).

El sistema, en sí, es una mezcla entre el paradigma de contraseñas y el de tokens, acercándose de cara al usuario más al segundo, por eso de que realmente quien hace todo el trabajo será el propio dispositivo.

Sinceramente, no tengo del todo claro que esto deba ser el futuro de la seguridad, ya que a priori haría que dependiéramos aún más de nuestras cuentas de Google y Apple.

Recordemos que ambas (sobre todo la primera) lleva años ofreciendo su sistema de loging como API de terceros, al igual que Facebook y Twitter, y que en esencia, ha demostrado ser muy cómodo… y a la vez terriblemente dañino para la privacidad del usuario, por eso de que con la implementación de su API de identificación de usuarios, estas empresas obtienen acceso a información de uso de todos los servicios donde las usamos.

En este caso en particular, habría que ver cómo queda este tema. La FIDO Alliance es un organismo que a priori no tiene interés alguno en crear un sistema que rompa la privacidad de los usuarios.

¿Pero las empresas que lo forman? ¿Sobre todo aquellas cuyo modelo de negocio es el publicitario?


Newsletter nuevas tecnologias seguridad

Imagínate recibir en tu correo semanalmente historias como esta

Suscríbete ahora a “Las 7 de la Semana”, la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.