Passkeys es un estándar de autenticación (FIDO Alliance and W3C standards) relativamente nuevo surgido de una alianza de algunas de las principales empresas de tecnología que incluyen Apple, Google y Microsoft entre otras.
Las passkeys se crean en los dispositivos de los usuarios y permanecen allí, y todo lo que se necesita para iniciar sesión es seleccionar la correcta para acceder a servicios y sitios web. Las contraseñas ya no son necesarias, y ésa es una de sus principales ventajas.
Tradicionalmente, las contraseñas (passwords) se almacenan como hashes(*) en los servidores. Cuando un usuario introduce una contraseña, se genera el hash y se compara con los datos del servidor. Esto conlleva desventajas, como que una violación del servidor puede dar a los delincuentes acceso a los hashes, que pueden ser descifrados para revelar las contraseñas. Además, las contraseñas pueden ser forzadas y son habituales los ataques de phishing para robar contraseñas a los usuarios.
Todas estas formas de ataque no funcionan contra las claves de acceso (passkey). El servidor ya no almacena los datos necesarios y los usuarios no introducen contraseñas. La fuerza bruta tampoco es posible.
Aunque las passkeys mejoran la seguridad, los usuarios deben ser conscientes de algunos inconvenientes asociados a ellas. Algunas de ellas son temporales, mientras que otras pueden suponer un problema permanente.
Las claves son específicas de cada dispositivo. La funcionalidad de sincronización aún no está ampliamente disponible, pero muchos gestores de contraseñas y también sistemas operativos pueden soportar la sincronización con el tiempo.
La mayoría de los sitios web y aplicaciones no admiten claves de acceso. Esto también cambiará en el futuro a medida que se extienda el soporte. Por ahora, sólo algunos sitios y servicios admiten esta función de seguridad.
Pérdida de acceso a un dispositivo. Si un usuario pierde el acceso a todos sus dispositivos, puede tener problemas para recuperar el acceso a su cuenta. La mayoría de los sitios y servicios admiten opciones de recuperación de cuenta si se ha olvidado una contraseña. Se puede proporcionar una funcionalidad similar para las passkeys, y esto puede implicar proporcionar identificaciones u otras formas de legitimación. Las passkeys admiten claves de recuperación, pero éstas deben ser guardadas por el usuario de forma activa.
(*) Hashing es el proceso de transformar una clave o cadena de caracteres en otro valor.
