Piensa una contraseña. Vale, ahora que esa contraseña se ajuste a los criterios del servicio en cuestión, añadiendo cifras, mayúsculas, símbolos y que tenga cierta extensión. Trata de recordarla. Repite el proceso para otra aplicación o plataforma. Y así con todos y cada una de las cosas que necesitan contraseñas, que son muchas: desde tu servicio de streaming a tu cuenta de correo pasando por esa tienda online. No es de extrañar que terminemos repitiendo claves (mal), que pequemos de simplificar o que recurramos a un gestor de contraseñas porque, para sorpresa de nadie, son demasiadas contraseñas para recordar.
Cada vez más conectada y con cada vez más nuevas contraseñas, que no solo se pueden olvidar, sino que también pueden atacarse o quedar al descubierto. En ese escenario llegaron la autenticación de doble factor y los sistemas biométricos, que evitan tener que recurrir a introducir las contraseñas en un dispositivo que permita identificarse con la huella o nuestro rostro. Y llegaron las passkeys, que Google ha implementado para sus cuentas, Apple ha hecho lo propio con sus servicios y desde hace un par de días, también Microsoft.
¿Qué ventajas ofrecen las passkeys? Son credenciales asociados al PIN o a sistemas biométricos, solo existen en los dispositivos y no en la nube, el procedimiento es más seguro. Asimismo y en caso de pérdida, robo o cambio del dispositivo empleado, puedes eliminarlo. Eso sí, no pueden extraerse ni exportarse, quédate con esto último porque es la clave.
Las passkeys son cómodas, pero tienen una cara B: la dependencia
Pero no es oro todo lo que reluce. Llevo un tiempo usándolas y me he dado cuenta de algo: no hay mejor forma de generar adherencia a un servicio que con las passkeys. Solo tienes que ofrecer un servicio para que la gente se olvide de sus contraseñas para acceder a sus aplicaciones mediante las passkeys y habremos caído en la trampa: si funcionan bien, ya no vas a querer otra cosa. Y si la quisieras, cambiar no será fácil, en tanto en cuanto tendrás que volver a empezar de cero.
Porque la realidad es que a día de hoy las passkeys todavía tienen bastante margen de depuración. Mi experiencia con las passkeys en Chrome y Safari, que tiran de un QR para que accedas con el teléfono, es notablemente mejorable a nivel de experiencia y con Android más de lo mismo, recurriendo sí o sí al servicio de Google.
Y esto suponiendo que todo vaya bien: hay hilos de GitHub de passkeys donde podemos encontrar personas que no pueden registrarse porque el espacio disponible para esta tarea está lleno (suele ser limitado) o da errores, generando incluso duplicidades y el borrado de credenciales buenas. ¿Cómo recurrir a una tecnología que quiere convertirse en predeterminada cuando todavía está tan verde? No es casual: cuando el interés principal es crear un ecosistema cerrado y dependiente por encima de solventar los problemas asociados a las contraseñas, surgen más problemas.
Las passkeys todavía están en fase de adopción, pero mi impresión es que fracasarán: había una oportunidad de oro para decir adiós a las contraseñas, pero la obsesión por atrapar a usuarios y usuarias para ganar cuota de mercado ha prevalecido por encima de la experiencia de uso, por lo que quedarán limitadas a un pequeño grupo de personas con ciertos conocimientos técnicos.
No os voy a engañar: me estoy volviendo a las contraseñas y tengo claro que, con todo el dolor de mi corazón, la solución más viable a día de hoy es tener un buen gestor multiplataforma que genere contraseñas y las guarde a buen recuerdo.
Portada | Foto de Volodymyr Kondriianenko en Unsplash
En Genbeta | Tres gestores de contraseñas gratuitos para almacenar contraseñas en local y no depender de la nube
Ver 3 comentarios
3 comentarios
elrata
Efectivamente, cuando miré el tema de las Passkeys hace un tiempo vi justamente eso: Estabas encerrado en la plataforma que te creaba las claves.
No empecé a usarlas algo (al menos a crearlas) hasta que BitWarden no añadió el soporte. Así ya las tengo en cualquier naveagdor que pueda usar BitWarden (al menos de sobremesa). La integración con Android diría que no existe aun (y no se si se podrá hacer), así que ahí no me valen.
Leí una pregunta que hicieron a los de otro gestor de contraseñas (¿OnePassword?) que también estaban añadiendo y alguien les preguntó por el tema de exportar e impotar las passkeys, que ahora mismo estás encerrado en la plataforma, y les comentó alguien de ese sistema que los de los de la especificación de las passkeys ya tenían sobre la mesa lo de hablar el tema de la exportación e importación de passkeys, así que es algo que supongo que se hará (además, la gente se ira dando cuenta de que tienen este problema, que no pueden moverse a otros lados, aunque solo sea pc vs móvil, o un teléfono android y una tablet ios)
glnx
Incluso sin extensión hay combinaciones que ya se puede usar multiplataforma. Está aún verde y tendrá que mejorar pero la clave es precisamente usar gestores de terceros en vez de los de la plataforma en la que estés, para no atarte a ellas.
Yo tengo generadas llaves desde un pc o Mac y guardadas en bitwarden
Y luego puedo entrar con ellas desde iPad con Firefox (por mencionar ejemplo sin soporte actualmente de extensiones) y me coge la llave sin problema.
(Indirectamente es un mérito del motor de Apple ya que Firefox aún no tiene el suyo... Y ahí webkit si que tiró del bitwarden instalado)
O admite también combinaciones diferentes desde cualquier navegador e indistintamente Mac o PC con tal que tengan la extensión.
En cambio eso mismo en Android ni Chrome ni otros lo pillan aun teniendo el gestor de contraseñas instalado, que Chrome se empeña en leer solamente lo que encuentre en el llavero de Google.
Igual que Android tiene ya soporte para gestores de contraseñas para acceso convencional independiente del navegador, deberían tener soporte para usar llaves con ellos, de forma que no dependamos de extensiones ni apaños
Eso sí, no dejo de tener 2FA aunque funcione todo esto jeje