- Una tecnología que aún no está lista para horario estelar: la tecnología de passkeys es elegante, pero su seguridad práctica para el uso diario sigue siendo insuficiente
- Está recibiendo atención como alternativa a las contraseñas y se considera una defensa sólida contra el phishing y el hackeo de bases de datos
- Las especificaciones de FIDO2 y WebAuthn son elegantes, pero la experiencia de usuario sigue siendo compleja
- Aunque cientos de sitios y los principales sistemas operativos y navegadores admiten passkeys, la usabilidad se deteriora por las diferencias de implementación entre plataformas y flujos de trabajo inconsistentes
- Por ejemplo, incluso en el mismo sitio la experiencia de inicio de sesión es distinta entre iOS y Android, y en algunos navegadores ni siquiera hay soporte
- Cada plataforma empuja su propia opción de sincronización de passkeys, dificultando que el usuario elija otras alternativas
- Las implementaciones de passkeys deberían hacer que su uso fuera sencillo para los usuarios, pero hoy no es así
- Sincronizar passkeys mediante un administrador de seguridad como 1Password puede resolver el problema, pero eso debilita la premisa central de las passkeys como autenticación sin contraseña.
- Además, la mayoría de los usuarios todavía no utiliza administradores de contraseñas
- Ningún sitio que admita passkeys ha eliminado por completo las contraseñas
- La autenticación MFA basada en SMS sigue siendo vulnerable y debilita la seguridad de las passkeys
- En entornos empresariales, las passkeys pueden convertirse en una alternativa a las contraseñas y a las aplicaciones autenticadoras
Propuesta
- Usar un administrador de seguridad: sincronizar passkeys con herramientas como 1Password y activar MFA para reforzar la seguridad
- Priorizar MFA: si es posible, usar una llave de seguridad o una app de autenticación para habilitar la autenticación multifactor
- Evaluar la adopción de passkeys: las passkeys son prometedoras a largo plazo, pero por ahora las contraseñas y los administradores de seguridad siguen siendo indispensables
Conclusión
- Las passkeys tienen un alto potencial para resolver los problemas de seguridad de las contraseñas, pero en este momento no son una alternativa perfecta debido a limitaciones técnicas y problemas de usabilidad
- Es muy probable que mejoren en el futuro, pero por ahora la opción más razonable es usarlas junto con los métodos de autenticación existentes.
2 comentarios
Yo también guardo y uso passkeys en Bitwarden.
Viendo que permiten registrar los nombres uno por uno, no parece una tecnología pensada para crear una sola passkey y usarla sincronizándola. Más bien da la impresión de que la idea es crear una por cada dispositivo, pero siendo sinceros, da flojera.
Comentarios de Hacker News
En algún universo paralelo existe una ley que exige que todos los fabricantes de dispositivos informáticos ofrezcan un almacén donde los usuarios puedan conectar sus credenciales de seguridad. El enfoque actual de las passkeys está diseñado sobre un modelo imaginario en el que el usuario se sumerge por completo en un solo ecosistema.
Las passkeys se suponía que serían autenticación con llaves de hardware, como quería Yubico, pero Apple, Google y Microsoft prefieren autenticar mágicamente a través del sistema operativo.
Los proveedores de sistemas operativos quieren que los usuarios no usen software ni hardware ajeno al sistema operativo, y los empujan a usar passkeys basadas en la nube.
El estado ideal a futuro sería poder elegir, desde la configuración del navegador, el proveedor de las credenciales recién registradas.
TOTP también sufre un problema similar, y muchos almacenes de passkeys no permiten exportación. Bitwarden es una excepción, ya que sí permite exportar passkeys.
La transición de contraseñas a passkeys es un gran cambio en el modelo moderno de seguridad de internet, así que es natural que la gente sea cautelosa y tenga opiniones divididas.
Como uno de los pocos usuarios a los que les gustan las passkeys, creo passkeys en iCloud Keychain y 1Password. Pienso que se necesitan mejores funciones de exportación/importación.
Las passkeys son una caja negra invisible, y el usuario común no puede hacerles respaldo. La implementación está incompleta y la superficie de ataque es mayor.
Fido carece de soporte suficiente en sitios web/frameworks/bibliotecas, y creo que las passkeys son un producto fallido. No puedo confiar en las passkeys por sus problemas de usabilidad.
Como usuario técnico, dejé de usar Google porque las sesiones de autenticación con passkeys duran poco. Es molesto tener que volver a autenticarme con frecuencia.