Llevamos años escuchando hablar sobre el fin de las contraseñas, pero el momento parece quedar aún bastante lejano en el tiempo. Si bien el uso de la autenticación de dos factores ha posibilitado la mejora de la seguridad de las cuentas de los usuarios en estos últimos años, esto sigue sin ser suficiente, y más cuando no está implementado en la mayoría de los servicios de Internet, y si está implementado, no es de uso mayoritario, salvo que compañías como Google fuercen a ello.
Pero los trabajos con el objetivo de reemplazar las contraseñas por un sistema de inicio de sesión más seguro se siguen sucediendo, y desde la publicación 9to5Google acaban de encontrar indicios en el código fuente de una reciente versión de Google Play Services que apunta al trabajo de Google en la implementación de un sistema basado en «claves de acceso», desarrollado por la FIDO Alliance, aunque no será la única compañía que lo vaya a usar, ya que otras, como Apple, que también forma parte de la Alianza FIDO (Fast IDentity Online), también hará uso de la misma.
Un sistema basado en claves de acceso para sustituir a las contraseñas
El asunto está en el que este sistema de autenticación segura llegue a implementarse en un número elevado de terceros servicios para llegar a tener éxito y dejar definitivamente el uso de las contraseñas de forma habitual a la hora de iniciar sesión en aplicaciones y servicios, aunque las contraseñas no llegarán a desaparecer del todo, como veremos más adelante.
Según 9to5Google, este nuevo sistema de FIDO Alliance adopta un enfoque de claves criptográficas, donde bastará con el desbloqueo del dispositivo antes de iniciar sesión.
Pero a la hora de registrarse en una aplicación o servicio con soporte para las «claves de acceso», señalan que:
Durante el registro en un servicio en línea, el dispositivo cliente del usuario crea un nuevo par de claves. Conserva la clave privada y registra la clave pública con el servicio en línea. La autenticación la realiza el dispositivo cliente que demuestra la posesión de la clave privada del servicio mediante la firma de un desafío.
Explican que las claves de acceso generadas se guardarán en la propia cuenta que se tenga en Google, o en Apple en caso de los usuarios de iOS, y que sólo será necesario conocer las contraseñas de las cuentas de Google (o Apple), sobre todo, a la hora de utilizar un nuevo dispositivo:
En lugar de contraseñas, tendrá «claves de acceso» que se almacenan en su dispositivo y el servicio de sincronización en la nube asociado del sistema operativo. En el caso de Android, las claves de acceso, que es el nombre que Apple también usará, se guardan en su cuenta de Google, como se explica en las nuevas cadenas en la última versión de los servicios de Google Play (versión 22.15.14).
El desarrollo e implementación siguen adelante, aunque de momento no se sabe cuando este mecanismo llegará a estar disponible para todos los usuarios, si es que no llegan a echarse atrás en la búsqueda de un método de seguridad mejor.
Más información: 9to5Google