ℹ️ Passkeys, l'alternativa a les contrasenyes
Temps aproximat de lectura:
Peu de foto:Foto Jan Vašek
Estem davant la fi de les contrasenyes? T'expliquem les virtuts i defectes de les 'passkeys', la principal alternativa al tradicional codi de seguretat
En un món en el qual hem de gestionar l'accés a desenes de comptes en línia, les contrasenyes estan cada vegada més lluny de ser l'opció més adequada. Reutilitzar les mateixes credencials d'inici de sessió, fàcils de recordar en totes aquestes aplicacions i llocs web és un dels errors més comuns que cometem. Aquesta bretxa de seguretat facilita als malintencionats poder endevinar o robar les nostres dades d'accés, que, si són comuns en tots els nostres comptes, podria fer que tot el nostre món digital s'ensorri.
De fet, és sorprenent que les contrasenyes hagin durat tant de temps, un fet degut en gran part a la falta d'alternatives eficaces. Unes de les possibilitats existents per a acabar amb aquest problema són les ‘passkeys’. Google acaba d'anunciar la compatibilitat d'aquesta nova tecnologia amb els comptes personals i de treball (igual que Apple i Microsoft), de manera que podríem ser molt prop d'una nova era d'inicis de sessió sense contrasenya.
“Els intents anteriors de millorar o actualitzar l'experiència i la seguretat de les contrasenyes no han acabat de triomfar. Desenvolupaments com l'autenticació de doble factor (2FA) contribueix significativament a fer més segures les contrasenyes, però la seva adopció dista molt de ser universal, ja que algunes persones consideren que el procés de dos passos és difícil de manejar. A més, els codis d'un sol ús enviats als usuaris a través de missatges de text, que és amb diferència la variant més utilitzada de 2FA, poden ser interceptats”, destaca Josep Albors, director de Recerca i Conscienciació d’ESET Espanya.
Els gestors de contrasenyes, per part seva, fan una gran feina generant, emmagatzemant i recordant una contrasenya llarga, complexa i única per a cada lloc individual. Però no sempre cobreixen tots els dispositius, sistemes operatius i navegadors web, i és complicat gestionar la pèrdua de la contrasenya mestra. En alguns casos, l'experiència de l'usuari també pot ser una mica complicada.
Les ‘passkeys’, per part seva, són un estàndard del sector que els grans noms de la tecnologia esperen que algun dia prenguin el relleu a les contrasenyes, la 2FA i la necessitat de gestió de contrasenyes tal com la coneixem avui dia.
COM FUNCIONEN LES 'PASSKEYS'?
Les ‘passkeys’ aprofiten el poder de la criptografia de clau pública. Aquesta opció consisteix en un parell de claus criptogràfiques -una privada i una altra pública- que es generen per a protegir el teu compte en un lloc web, una aplicació o un altre servei en línia. La clau privada s'emmagatzema en el dispositiu com una llarga cadena de caràcters xifrats, mentre que la clau pública es carrega en els servidors del servei en línia corresponents, per exemple, Google o fins i tot el sistema de gestió de contrasenyes iCloud keychain d'Apple.
En iniciar sessió en el teu compte de Google des del telèfon intel·ligent, Google genera una clau d'accés directament. A continuació, quan intentis accedir, es demana que autentiquis amb el teu PIN, empremta dactilar o un altre mecanisme de bloqueig de pantalla del dispositiu. No hi ha necessitat d'introduir o recordar cap contrasenya, la qual cosa immediatament fa que el procés sigui més segur i fàcil d'usar. En l'intent d'inici de sessió, el servidor envia un desafiament criptogràfic al dispositiu, demanant a la clau privada que el resolgui i el transmeti de tornada al servidor. Aquesta resposta s'utilitza per a verificar que els parells de claus pública i privada coincideixen, ja que tots dos són necessaris per a autenticar-se.
En cap moment les dades biomètriques surten del dispositiu, ni el servidor sap quina és la clau privada. De fet, l'usuari tampoc veurà mai la clau privada, ja que tot el mecanisme ocorre en segon pla i sense exigir gaires esforços.
QUINS SÓN ELS AVANTATGES DE LES CLAUS D'ACCÉS?
La pregunta que sorgeix és si llavors, podrien les ‘passkeys’ ser el «Sant Greal» de la facilitat d'ús i la seguretat? A continuació, destaquem de manera detallada els seus avantatges:
- Resistents a la suplantació d'identitat i a l'enginyeria social: Eliminen el problema de les persones que accidentalment revelen les seves credencials d'accés als ciberdelinqüents introduint-les en llocs web falsos. En el seu lloc, demanen a l'usuari utilitzar el seu dispositiu per a demostrar que és el veritable propietari del compte.
- Eviten les conseqüències d'una bretxa de tercers: Si un lloc web o un proveïdor d'aplicacions pateix una bretxa, només podran robar les claus públiques ja que les claus privades mai es comparteixen amb el servei en línia, i no hi ha manera d'esbrinar-la a partir de la clau pública.
- Evita els atacs de força bruta: Les claus d'accés es basen en la criptografia de clau pública. Això significa que els atacants no poden endevinar-les ni utilitzar tècniques de força bruta per a desxifrar comptes.
- Sense intercepció 2FA: Amb les ‘passkeys’ no hi ha un segon factor, per la qual cosa els usuaris no corren el risc de patir tècniques d'atac dissenyades per a interceptar codis SMS i similars. Aquestes són prou potents com per a substituir fins i tot al 2FA, les claus de seguretat per maquinari.
- Es basen en els estàndards del sector: Es basen en els estàndards dels grups de treball FIDO Alliance i W3C WebAuthn, un fet que les hi permet funcionar en tots els sistemes operatius, navegadors, llocs web, aplicacions i ecosistemes mòbils participants. Apple, Google i Microsoft són compatibles amb aquesta tecnologia, igual que les principals empreses de gestió de contrasenyes, com 1Password i Dashlane, i plataformes com WordPress, PayPal, eBay i Shopify.
- Fàcils de recuperar: Poden emmagatzemar-se en el núvol i, per tant, restaurar-se en un nou dispositiu si es perd.
- No hi ha res a recordar: Per als usuaris, ja no hi ha necessitat de crear, recordar i protegir grans volums de contrasenyes.
- Funcionen en diversos dispositius: Una vegada creada, una clau d'accés pot utilitzar-se en nous dispositius sense necessitat de tornar a registrar-se cada vegada, com passa amb l'autenticació biomètrica habitual.
Amb tot plegat, també cal tenir en compte alguns aspectes que us detallem a continuació.
DESAVANTATGES DE LES 'PASSKEYS'
Existeixen alguns obstacles que, en última instància, impedeixen que de moment les ‘passkeys’ s'adoptin de manera massiva. El major inconvenient és l'adopció per part de la indústria i la forma en què se sincronitzen les ‘passkeys’.
Les ‘passkeys’ només se sincronitzen amb dispositius que executin el mateix sistema operatiu, ja que, com detallàvem anteriorment, aquest tipus de claus se sincronitzen per plataforma de sistema operatiu. Això significa que si tenim un dispositiu iOS, però també utilitzem Windows, per exemple, podria ser una experiència una miqueta frustrant, ja que s'haurien d'escanejar codis QR i activar el Bluetooth perquè les passkeys funcionessin en dispositius amb sistemes operatius diferents. Això fa que en realitat el procés sigui més complicat que l'experiència actual amb les contrasenyes.
En el moment actual, l'adopció d'aquest procés de seguretat dista molt de ser generalitzada. Tot i que algunes grans empreses ja s'han pujat al carro, encara és aviat per a parlar d'un ús massiu. A part de les grans plataformes, s'estima que encara passarà algun temps abans que la majoria de llocs web i aplicacions siguin compatibles. Si vols comprovar si les teves plataformes favorites són compatibles amb aquesta tecnologia pots fer-ho aquí.
Podria ser aquest el principi de la fi de les contrasenyes? Les claus d'accés són el competidor més fort fins avui, però per a aconseguir una acceptació gairebé universal entre els usuaris, és possible que els proveïdors de tecnologia hagin de facilitar encara més el seu ús en diferents ecosistemes de sistemes operatius.
