Google y otras compañías han estado trabajando con la Alianza FIDO para cambiar cómo funciona la seguridad en línea utilizando un concepto que llaman Llave de paso. Es una gran idea con algunos defectos que significan que no es realmente algo que Google debería estar presionando a todos.
Las claves de acceso funcionan con dos elementos críticos: hardware especial que ya se encuentra dentro de la mayor parte de los mejores teléfonos Android y software de criptografía que cumple con todas las especificaciones para que sea lo que se llama una credencial FIDO.
Cuando configura su teléfono, se creará y almacenará una clave única en el enclave seguro de su teléfono. Este identificador se usará con el Normas FIDO para crear un conjunto de credenciales que se pueden pasar a cualquier dispositivo que esté en comunicación con su teléfono, o cualquier software que se esté ejecutando en ese dispositivo, como el navegador web o una aplicación. Después de configurar todo, todo lo que necesita hacer es desbloquear su teléfono para proporcionar estas credenciales seguras.
No está proporcionando ninguna información que pueda usarse para identificarlo, pero cada conjunto de credenciales sigue siendo único. El único componente en línea es una clave de respaldo almacenada en la nube para ayudarlo a recuperar sus cuentas.
En términos simples, esto significa que su teléfono almacenará una llave. Cuando desea acceder a una cuenta en línea que funciona con claves de acceso, desbloquea su teléfono y la clave demuestra que realmente es usted.
Me gusta este futuro donde las contraseñas y los nombres de usuario realmente no existen. No tanto como Apple y Google, que saben que casi tienes que tener un teléfono compatible para usarlo y solo hay dos opciones reales allí iOS y Android, pero Creo que es un paso en la dirección correcta. Dicho esto, no le recomiendo que lo encienda tan pronto como vea un mensaje o reciba un correo electrónico de Google. Simplemente no está completamente listo.
El proceso de incorporación en sí es un poco a medias. Algunos están atravesado con éxito y después de jugar con un código QR que se muestra en un teléfono y han pedido escanearlo con el mismo teléfono, URL que están rotas y que en realidad no hacen nada cuando las toca y le dicen que Clave de seguridad USB necesitaba ser insertado a pesar de que uno nunca se creó, todos llegamos a la misma conclusión que no está listo para el horario estelar.
Eso no significa que no pueda estar o no estará listo en el futuro. Hemos visto esto en Google antes de que apresure una función que todavía necesita mucho esmalte antes de dárselo a miles de millones de usuarios y hemos visto a Google cambiarla rápidamente alrededor y hacer que funcione según lo previsto. Significa que, en este momento, configurar su cuenta con un Passkey podría ser una experiencia realmente pobre.
Sin embargo, ese no es el verdadero problema, al menos en mi opinión. Mi problema es que está vinculado a un dispositivo físico que debe tener a mano si desea utilizar un servicio en línea.
Ese dispositivo no tiene que ser un teléfono. También puede usar una tecla de seguridad física, un dispositivo portátil o cualquier cosa con el soporte correcto de hardware y software para actuar como autenticador. Y eso funciona bien uso un Clave USB compatible con FIDO como método de autenticación de dos factores para acceder a mis cuentas. También sé que tengo una solución de respaldo fácil para los momentos en que no tengo mi llave como hoy cuando no estoy en casa en mi propia oficina. Google Authenticator o incluso SMS pueden ser un salvavidas.
Sin embargo, la mayoría de las personas usarán su teléfono como clave de acceso. Ya lo tienes, gastaste mucho dinero en él, y la compañía a la que lo compraste te dijo lo seguro que es todo al respecto. Además, Google facilita el uso de su teléfono porque quiere que sea aún más dependiente de su teléfono. Pregúntese, sin embargo, ¿podría perder su teléfono? Ahí es donde las cosas no son tan fáciles.
Teóricamente, todo lo que necesita hacer para volver a habilitar su clave segura es iniciar sesión en su cuenta de Google con un teléfono nuevo. Incluso el «futuro sin contraseña» todavía necesitará una contraseña, supongo. Si bien no he podido probar esto, diré que probablemente funciona según lo previsto porque es la parte menos compleja del sistema — mantener una copia de seguridad de lo importante, pero inútil por sí solo, parte en la nube para recuperarlo si alguna vez lo necesita.
Con suerte, no eres bloqueado de su cuenta de Google y puede recordar la contraseña real que le dijeron que ya no necesita, y tiene una forma de obtener un SMS de Google o iniciar sesión en una aplicación autenticadora. Todo sin tu teléfono en tus manos. Dios te ayude si te robaron el teléfono y alguien manchó tu cuenta tratando de entrar demasiadas veces.
Estos son problemas reales de los que escuchamos todos los días. Ya es horrible no poder ayudar a alguien a volver a su cuenta donde se almacenan años de fotos. Tener sus inicios de sesión para cosas desde Netflix a su banco inaccesibles mientras todo se resuelve es una pesadilla. Muy pronto todos usaremos claves de acceso porque no tendremos otra opción. Antes de que eso suceda, espero que alguien esté pensando en hacer que el sistema sea más fácil de usar.