Conclusiones clave
- iCloud Passkey elimina las contraseñas y hace que los inicios de sesión sean mucho más seguros.
- WebAuthn es un navegador estándar para la autenticación sin contraseña.
- Tanto WebAuthn como iCloud Passkey usan criptografía de clave pública para realizar la operación.
Con iCloud Passkey, Apple está a punto de hacer que la contraseña quede obsoleta. Finalmente.
Las contraseñas son un gran problema. Las contraseñas débiles o robadas están detrás de más del 80% de las infracciones de piratería, y las personas son terribles para administrar las contraseñas. O los olvidamos, usamos el nombre de nuestros perros o niños, o usamos la misma contraseña para todo. Los administradores de contraseñas como NordPass o iCloud Keychain pueden ayudar, pero una contraseña sigue siendo fundamentalmente insegura. Las claves de paso en el llavero de iCloud y el nuevo WebAuthn estándar quieren arreglar esto, pero ¿pueden realmente reemplazar la contraseña?
"Si Apple implementa esto como estándar en sus dispositivos, millones de personas se acostumbrarán y otros gigantes tecnológicos como Google seguirán su ejemplo", dijo Christen Costa, CEO de Gadget Review, a Lifewire por correo electrónico.
Claves públicas
El problema con una contraseña es que debe mantenerse en secreto, pero también debe compartirse. Las claves de acceso de iCloud usan algo llamado criptografía de clave pública. Este consta de dos llaves. La clave pública solo puede bloquear cosas, por lo que es seguro compartirla; la clave privada puede bloquear y desbloquear datos, y nunca sale de su dispositivo.
Cuando se registra en un sitio web o servicio usando iCloud Passkeys o WebAuthn, se genera un nuevo par de claves y la clave pública se comparte con el servicio, en lugar de una contraseña. El problema es que necesitará usar uno de sus propios dispositivos para iniciar sesión, pero en la práctica, eso rara vez será un problema y los beneficios de seguridad son enormes. Y si ya usa un administrador de contraseñas y autenticación de dos factores, entonces ya está en un dispositivo que ejecuta su aplicación de administrador de contraseñas.
Otro problema, sin embargo, es que si un atacante se apodera de su dispositivo y logra acceder a él, entonces todas las apuestas están canceladas. Sin embargo, iOS y los dispositivos Mac modernos son muy difíciles de descifrar, y robar un teléfono requiere mucho más esfuerzo que enviar correos electrónicos de phishing.
Las claves de acceso en el llavero de iCloud son fáciles
Usar claves de acceso en el llavero de iCloud es simple. Cuando se registra para obtener una nueva cuenta de usuario en un sitio web, ingresa una dirección de correo electrónico y su iPhone le pedirá que confirme que está creando una cuenta. Eso es todo. La nueva clave de acceso se almacena en su llavero y la parte pública se almacena en el sitio web.
La gran diferencia es que la clave pública está diseñada para ser pública. No es necesario ocultarlo o mantenerlo en secreto. Si el sitio web es pirateado, robar todas estas claves públicas no tiene sentido, porque no harán nada. ¿Esas infracciones masivas de contraseñas sobre las que lees cada pocas semanas? Serán cosa del pasado.
"Si examinamos cómo funcionan las contraseñas hoy en día, primero ingresa su contraseña, luego generalmente se ofusca a través de algo como hash más salado, y el hash salado resultante se envía al servidor", dice Garrett Davidson de Apple en un WWDC sesión llamada "Más allá de las contraseñas". "Ahora, tanto usted como el servidor tienen una copia del secreto, aunque la copia del servidor esté ofuscada, y ambos son igualmente responsables de proteger ese secreto".
¿Qué pasa con su administrador de contraseñas?
Esta tecnología puede parecer fatal para las aplicaciones de administración de contraseñas, pero hace poca diferencia. La mayoría de los usuarios ya confían en el administrador de contraseñas integrado de iCloud.
Los usuarios avanzados, el tipo de personas a las que les gustan las funciones adicionales y están desvinculando sus contraseñas de su ID de Apple, seguirán usando aplicaciones independientes.
Si Apple implementa esto como estándar en sus dispositivos, millones de personas se acostumbrarán y otros gigantes tecnológicos como Google seguirán su ejemplo.
"Nadie quiere más competidores, pero estas soluciones integradas no son el enfoque principal del navegador", dice Chad Hammond, experto en seguridad de Nordpass. "Por lo tanto, no resuelven los mismos problemas globales que los administradores de contraseñas. La función principal de un navegador es brindar al usuario acceso a la información, y un administrador de contraseñas es solo una de las muchas funciones que ofrece. En los administradores de contraseñas dedicados, es la característica principal."
Por otro lado, el alcance de Apple puede poner esta nueva tecnología de autenticación en muchas manos, lo cual es una ventaja para todos. Los pagos sin contacto existían antes de Apple Pay, pero solo despegaron en los EE. UU. después de que Apple los agregara al iPhone. Las contraseñas no desaparecerán pronto, pero por fin tenemos una alternativa que es intrínsecamente segura, fácil de usar y no te permite usar el nombre de tu perro. De nuevo.
