Las amenazas cibernéticas han evolucionado enormemente en los últimos años, se han vuelto más sofisticadas y complejas, haciendo que las medidas de seguridad y protección que había hasta ahora queden obsoletos o sean insuficientes en muchos casos.
Un ejemplo de ello son las contraseñas, y es que a pesar de seguir siendo el método de identificación más extendido a la hora de registrarse o iniciar sesión en una cuenta, esta capa de seguridad es muy vulnerable para las amenazas que existen hoy en día.
Así es como surgieron las passkeys, también conocidas como llaves de acceso que se están postulando como una de las alternativas mejor valoradas para protegernos a nosotros mismos y todas nuestras cuentas en las diferentes apps y plataformas en las que estamos registrados.
Qué son las passkeys y cómo funcionan
Las claves de acceso son una alternativa a las contraseñas con la que se vincula una clave privada con la cuenta personal del usuario y permite sincronizarla entre dispositivos para su uso en las webs.
Con las llaves de acceso, los usuarios pueden acceder a apps y sitios web con un sensor biométrico (como una huella dactilar o el reconocimiento facial), un PIN o un patrón, lo que evita que tengan que recordar y administrar contraseñas.
Las llaves de acceso brindan una protección sólida contra los ataques de phishing y pueden eliminar la necesidad de solicitar códigos de un solo uso basados en SMS o aplicaciones durante el acceso. Dado que las llaves de acceso están estandarizadas, una sola implementación permite una experiencia sin contraseñas en todos los dispositivos de un usuario, en diferentes navegadores y sistemas operativos.
Por qué son mejores que las contraseñas
La principal diferencia entre una passkey y una contraseña, es que la primera no se puede compartir, recordar ni escribir. Esto se debe a que las llaves de acceso usan criptografía de clave pública, esto quiere decir que cuando un usuario crea una en un sitio o una aplicación, se genera un par de claves pública y privada en su dispositivo.
El sitio solo almacena la clave pública, pero esto por sí solo es inútil para un atacante. Un atacante no puede derivar la clave privada del usuario de los datos almacenados en el servidor, lo que se requiere para completar la autenticación. El navegador y el sistema operativo garantizan que una llave de acceso solo se pueda usar con el sitio web o la app que la creó.