Dile adiós a las contraseñas

Han pasado un par de años desde que Apple, Google y Microsoft comenzaron a intentar acabar con las contraseñas. Ahora, su desaparición parece más probable que nunca.

En 2022, las tres empresas adoptaron una alternativa llamada passkeys (o claves de acceso), que se sincronizan de forma segura entre sus dispositivos y están protegidas por reconocimiento facial, huella dactilar o PIN. La idea es que si no tienes que recordar una contraseña (o incluso crear una en un administrador de contraseñas), es menos probable que seas víctima de estafas de phishing. Y si los sitios web ya no tienen que almacenar las contraseñas de sus clientes, las brechas de seguridad no serán tan desastrosas.

A pesar de la gran expectación inicial en torno a las claves de acceso, la implementación inicial ha sido caótica. Las aplicaciones y los sitios web tienen ideas diferentes sobre cómo introducir el concepto de no necesitar más una contraseña, y almacenar claves de acceso con administradores de contraseñas de terceros como Bitwarden y 1Password puede ser un proceso complicado. Lo peor de todo es que no hay forma de transferir todas las claves de acceso a otra plataforma o gestor de contraseñas, lo que las convierte en otro bloqueo del ecosistema de formas.

Todo eso finalmente está cambiando. La FIDO Alliance, el grupo industrial que lidera el impulso de las claves de acceso, está publicando algunas pautas muy necesarias para que el uso de las claves de acceso parezca más consistente de un sitio a otro, y las grandes plataformas tecnológicas están mejorando en lo que respecta a permitir que se almacenen las claves de acceso en el gestor de contraseñas preferido. También se está trabajando en un protocolo que permita a las personas cambiar de forma segura entre gestores de contraseñas y llevarse todas sus claves de acceso con ellos.

Todo esto está contribuyendo a un aire de inevitabilidad para las claves de acceso, especialmente a medida que los principales actores del comercio electrónico como Amazon y Shopify se suman. Incluso si no estás completamente en sintonía con el movimiento de las claves de acceso, pronto tendrás que hacer todo lo posible para evitarlo.

“En los próximos tres a cinco años, prácticamente todos los servicios importantes ofrecerán a los consumidores una opción sin contraseña”, dice Andrew Shikiar, CEO de la FIDO Alliance.

Impulsar la adopción

Uno de los mayores desafíos para las claves de acceso es la inercia. Las personas no están acostumbradas a la idea de iniciar sesión sin una contraseña, y tener que configurar una clave de acceso puede ser confuso o molesto, especialmente cuando interfiere con el uso del sitio en el que acaba de iniciar sesión.

No hay una solución fácil para este problema, pero la FIDO Alliance ha creado el sitio web Passkey Central para guiar a las empresas a través de las posibles soluciones. Este presenta diferentes estrategias para lograr que los usuarios adopten las claves de acceso y alienta a toda la industria a adoptar señales visuales y mensajes similares.

“Creo que esta guía que estamos brindando—este apoyo paso a paso, ayudando a las personas en esos recorridos—será otra forma de abordar estos puntos críticos”, dice Shikiar.

También estamos comenzando a ver algunos sitios que se vuelven más agresivos a la hora de impulsar la adopción de claves de acceso. Si has iniciado sesión en Amazon últimamente, por ejemplo, es posible que hayas visto un mensaje en pantalla para configurar una clave de acceso con solo hacer clic en un botón. Una próxima actualización de la especificación WebAuthn, llamada “creación condicional”, hará que este proceso forme parte de un estándar de la industria que los sitios web deben adoptar.

“Podemos comenzar a respaldar esos flujos para que la adopción de claves de acceso por parte de los usuarios sea un proceso un poco más pasivo y sin fricciones”, dice Nick Steele, gerente de productos de 1Password. “Porque esa es la parte más difícil hoy en día, lograr que los usuarios den el primer paso”.

Adopción de administradores de contraseñas

Cuando se lanzaron las claves de acceso hace un par de años, los administradores de contraseñas de terceros parecían una idea de último momento.

Si configurabas una clave de acceso en un iPhone, por ejemplo, se almacenaba automáticamente en el llavero de iCloud de Apple, incluso si preferías usar una opción de terceros como Bitwarden o 1Password. Cuando esos administradores de contraseñas finalmente agregaron compatibilidad con claves de acceso, tuvieron que depender de soluciones alternativas complicadas para almacenarlas.

Afortunadamente, eso también está cambiando. Apple ahora permite guardar y acceder a claves de acceso en gestores de contraseñas de terceros, y Microsoft dice que pronto permitirá a los usuarios de Windows elegir un gestor de contraseñas de terceros predeterminado. Mientras tanto, Google está actualizando Chrome para Android para que su función de autocompletar utilice cualquier gestor de contraseñas que configure como predeterminado a nivel de sistema.

Si bien los involucrados con las claves de acceso dicen que las principales plataformas tecnológicas nunca intentaron usar las claves de acceso como una herramienta para el bloqueo, es más fácil para ellos almacenar esas claves de acceso por su cuenta. Ha llevado tiempo descubrir cómo dar cabida también a gestores de contraseñas de terceros, Steele dice que trabajó en estrecha colaboración con empresas como Microsoft para que eso sucediera.

“Todos estamos en el mismo equipo aquí, ¿verdad? Y el equipo es ‘deshazte de la contraseña'”, dice.

Llévalas contigo

Aunque es más fácil almacenar claves de acceso en tu gestor de contraseñas preferido, todavía no hay forma de transferirlas en masa. Si eres un usuario de 1Password de larga data y quieres cambiar a la aplicación Contraseñas de Apple, por ejemplo, las claves de acceso que creaste en 1Password se quedan atascadas allí.

Ahora, la Alianza FIDO propone una solución con el Formato de Intercambio de Credenciales y el Protocolo de Intercambio de Credenciales. El primero proporciona un formato de datos universalmente reconocido para los inicios de sesión, mientras que el segundo especifica cómo los administradores de contraseñas pueden transferir esos datos entre sí.

CXF y CXP no son solo para claves de acceso. También cubren las contraseñas tradicionales, proporcionando una forma segura de cambiar a un nuevo administrador de contraseñas. Hoy, tu única opción es exportar una hoja de cálculo .CSV de todos tus inicios de sesión, luego subirla a otro lugar y, mientras tanto, cualquier persona con acceso a esa hoja de cálculo puede ver todos tus inicios de sesión en texto sin formato. CXF y CXP todavía están en la etapa de borrador de trabajo, pero el objetivo es que proporcionen una forma más segura de cambiar.

“Creo que es realmente genial que estemos haciendo esto”, comenta Andrew Shikiar de FIDO. “Queremos ser seguros, queremos interoperar, queremos ser competitivos, y hemos visto que esto se ha materializado.”

Ganando terreno

Shikiar dice que está contento con el progreso que han logrado las claves de acceso en los últimos dos años. Señala una encuesta reciente realizada por FIDO Alliance, que muestra que 40% de los consumidores tiene algún conocimiento de las claves de acceso. También señaló un anuncio reciente de Amazon que indica que 175 millones de sus clientes han habilitado las claves de acceso en sus cuentas.

El próximo gran objetivo será incorporar a los proveedores de servicios financieros. Los primeros en admitir claves de acceso tienden a ser los servicios de comercio electrónico y hotelería cuyo objetivo principal es la facilidad de acceso, dice Shikiar. Sin embargo, la mayor prueba será la adopción por parte de las empresas que también vean los beneficios de seguridad de las claves de acceso.

Una vez que eso suceda, espera que la contraseña se sienta cada vez más obsoleta. “Para ser claros, habrá escenarios en los que todavía usaremos contraseñas en cinco años”, dice, “pero cada vez menos”.