El futuro sin contraseñas que dibujan las grandes tecnológicas ya está aquí para los usuarios de Google, que desde hoy pueden iniciar sesión en su cuenta con una clave de acceso. Si lo hacen, Google no pedirá la contraseña ni la verificación en dos pasos.
Las claves de acceso son una alternativa más segura y sencilla a las contraseñas que han impulsado Amazon, Apple, Microsoft, Meta y Google entre otras compañías de diferentes sectores. Todas están unidas bajo la FIDO Alliance, que tiene el objetivo de desarrollar y promover estándares de autenticación para reducir la dependencia de las contraseñas. Con estas claves, los usuarios pueden acceder a apps, cuentas y sitios web con un sensor biométrico (como una huella digital o reconocimiento facial), un PIN o un patrón, lo que evita tener que recordar y administrar contraseñas. Los datos biométricos no se comparten.
Cuando un usuario añade una clave de acceso a una cuenta de Google, la plataforma la solicitará siempre que se inicie sesión o cuando se detecte una actividad potencialmente sospechosa que requiera de una verificación adicional. Las claves de acceso para las cuentas de Google se pueden almacenar en un hardware compatible, incluyendo dispositivos Android (con Android 9 o superior), iPhones (con iOS 16 o superior) o cualquier dispositivo que haya adoptado los estándares abiertos (y gratuitos) de la FIDO Alliance.
Usar claves de acceso no significa que se deba emplear el teléfono cada vez que se inicia sesión. En caso de tener varios dispositivos, el sistema permite crear una clave de acceso para cada uno. Además, algunas plataformas hacen una copia de seguridad de las claves de acceso y las sincronizan con otros dispositivos. En caso de iniciar sesión con un nuevo dispositivo o para usar el de otra persona de forma temporal, existe la opción de emplear una clave de acceso almacenada en el móvil. Esto no transfiere la clave de acceso al nuevo dispositivo.
Cuando se crea una clave de acceso en un dispositivo, cualquier persona con acceso a ese dispositivo y la capacidad de desbloquearlo puede iniciar sesión en la cuenta de Google. La compañía reconoce que esto “puede parecer un poco alarmante”, pero considera que a la mayoría de personas les resultará más fácil controlar el acceso a sus dispositivos que recordar una contraseña y estar siempre atento a los intentos de phishing. En caso de perder un dispositivo con una clave de acceso, se puede revocar la clave de forma inmediata en la configuración de la cuenta de Google.
Las claves de acceso usan criptografía de clave pública o asimétrica. Con este sistema, cuando un usuario crea una clave de acceso se genera una clave pública y una clave privada en el dispositivo. Google solo almacena en sus servidores la clave pública (que no sirve de nada a un atacante). Cuando se inicia sesión, Google pide al dispositivo que firme con la clave privada y si el dispositivo lo aprueba, lo que requiere desbloquearlo, se inicia sesión. De esta forma se obtiene tanto la identificación como la autorización sin necesidad de memorizar una contraseña.
Las claves de acceso son una alternativa más segura y sencilla a las contraseñas que han impulsado Amazon, Apple, Microsoft, Meta y Google entre otras compañías de diferentes sectores. Todas están unidas bajo la FIDO Alliance, que tiene el objetivo de desarrollar y promover estándares de autenticación para reducir la dependencia de las contraseñas. Con estas claves, los usuarios pueden acceder a apps, cuentas y sitios web con un sensor biométrico (como una huella digital o reconocimiento facial), un PIN o un patrón, lo que evita tener que recordar y administrar contraseñas. Los datos biométricos no se comparten.
Cuando un usuario añade una clave de acceso a una cuenta de Google, la plataforma la solicitará siempre que se inicie sesión o cuando se detecte una actividad potencialmente sospechosa que requiera de una verificación adicional. Las claves de acceso para las cuentas de Google se pueden almacenar en un hardware compatible, incluyendo dispositivos Android (con Android 9 o superior), iPhones (con iOS 16 o superior) o cualquier dispositivo que haya adoptado los estándares abiertos (y gratuitos) de la FIDO Alliance.
Usar claves de acceso no significa que se deba emplear el teléfono cada vez que se inicia sesión. En caso de tener varios dispositivos, el sistema permite crear una clave de acceso para cada uno. Además, algunas plataformas hacen una copia de seguridad de las claves de acceso y las sincronizan con otros dispositivos. En caso de iniciar sesión con un nuevo dispositivo o para usar el de otra persona de forma temporal, existe la opción de emplear una clave de acceso almacenada en el móvil. Esto no transfiere la clave de acceso al nuevo dispositivo.
Cuando se crea una clave de acceso en un dispositivo, cualquier persona con acceso a ese dispositivo y la capacidad de desbloquearlo puede iniciar sesión en la cuenta de Google. La compañía reconoce que esto “puede parecer un poco alarmante”, pero considera que a la mayoría de personas les resultará más fácil controlar el acceso a sus dispositivos que recordar una contraseña y estar siempre atento a los intentos de phishing. En caso de perder un dispositivo con una clave de acceso, se puede revocar la clave de forma inmediata en la configuración de la cuenta de Google.
Las claves de acceso usan criptografía de clave pública o asimétrica. Con este sistema, cuando un usuario crea una clave de acceso se genera una clave pública y una clave privada en el dispositivo. Google solo almacena en sus servidores la clave pública (que no sirve de nada a un atacante). Cuando se inicia sesión, Google pide al dispositivo que firme con la clave privada y si el dispositivo lo aprueba, lo que requiere desbloquearlo, se inicia sesión. De esta forma se obtiene tanto la identificación como la autorización sin necesidad de memorizar una contraseña.
Luego está el tema de asociar cuentas a un teléfono, que no se pongan a banear teléfonos, por poner un ejemplo, es más control sobre la libertad.
Lo suyo sería poder comprar como un llavero ¿No? Como un dongle que guarde esas llaves y tenga autorización por si pasa algo, además de poder copiar los dongles, hacer copias de seguridad, y a eso sumarle lo de la verificación por teléfono o dispositivo, ya sea con huella, código, o lo que sea, de esa forma tendrías las contraseñas en casa seguras en caso de tener que reestablecer algo y solo usarías esos códigos aleatorios o métodos biométricos.
Y por ejemplo, si han atacado a una web y tienen las contraseñas pues estas se cambian automáticamente por la web, de hecho podría haber un sistema para que estas cambien cada cierto tiempo y así nunca sean las mismas, las maestras, conectando el dongle a un dispositivo con red estas se actualizan y puedes desactivar la cuenta de otros dispositivos, sería como tener las llaves de las cuentas en el bolsillo, y obviamente eso no saldría de casa ni sería requerido a no ser que haya habido un ataque a la compañía o algún tipo de intrusión.
Aunque bueno, podrían simular los dongles y esas historias, al final la seguridad al 100% no existe, pero se pueden poner límites a la hora de introducir contraseñas, yo por ejemplo tengo las contraseñas en papel y luego tengo una tarjeta sd con las keys cifradas en un archivo, y existen dongles que hacen eso, pero molaría que fuesen oficiales de microsoft o google.
(embed)
Saludos.
Si genial....entregar tus huellas digitales a cualquier compañía privada...por una cuenta de mail.Todo muy equitativo y "legal". [facepalm]
Si lees el artículo (y tienes nociones básicas de cifrado) verás que no es así. La huella solo está en tu dispositivo, no "en la nube", en tu móvil se guarda la clave privada (clave, no contraseña) y en la nube la pública para simplemente comprobar que la privada es la correcta.
Correcto.
Me parece muy cómodo. Estoy harto de memorizar contraseñas. Cada 2 por 3 me toca actualizar alguna porque con el tiempo se me acaban olvidando. A ver si llega el día que esto se implanta del todo y nos olvidamos de los passwords.
Todo lo que tú Expones ok .....lo dicho a Google, y al resto cuanto menos le des mejor.
Clave, contraseña, private key... llamalo como quieras.
Todo lo q se cifra, se descifra, y si además lo tienes en un soporte siempre se podra clonar, perder, inutilizar. etc.
Lo de conseguir la contraseña, clave, etc. por fuerza bruta es cuestión de tiempo y capacidad de computo.
Por eso lo mas sencillo es pedir amablemente q el sujeto te la facilite.
PD: Las grandes estafas siempre empiezan con las victimas dandole las gracias al estafador. Y veo mucho agradecido a Google, Apple, Meta, etc. por aqui.
Es más sencillo entrar en windows con un pin, pero no me parece más seguro
Quiero creer que junto a esto se añade una capa de seguridad adicional, ahora mismo las principales big tech ya emplean mecanismos para bloquear intentos de inicio de sesión sospechosos, ya sea que provienen de IPs desconocidas o desde ubicaciones que no son la nuestra. Si tienes Instagram y te vas al apartado de seguridad es probable que veas algunos intentos de inicio de sesión desde otros países. En IG es bastante común, en Outlook también (especialmente si sigues usando un correo hotmail).
En cuanto a esto, parece una evolución del Google Authenticator. Si es igual, debería ser posible crear un backup de tu clave privada, por si algún día pierdes el móvil o se te rompe. De todos modos, debería ser posible seguir usando las contraseñas de siempre, y los métodos de recuperación tradicionales.