Esta es la segunda parte de nuestra serie sobre passkeys. lee la parte 1 aquí.

En nuestro artículo anterior describimos qué es una llave de acceso o passkey: unos cientos de bytes de datos almacenados en tu gestor de contraseñas, clave de seguridad o cualquier otro lugar, que te permiten acceder a un sitio web específico sin necesidad de contraseña. La buena noticia es que las llaves de acceso están bastante bien diseñadas desde el punto de vista de la privacidad, a pesar de que dan un poco más de información a los sitios web que una simple contraseña.

Seguimiento entre sitios

Uno de los atributos más importantes de las llaves de acceso es que no deben permitir el rastreo entre sitios. En otras palabras, si creas una contraseña en el sitio A y otra en el sitio B con un nombre, una dirección de correo electrónico y una dirección IP diferentes, los dos sitios no deberían poder correlacionar las identidades separadas, aunque compartan información entre bastidores.

Las claves de acceso cumplen este requisito. Cada passkey que crees es única, aunque hay algunas pequeñas advertencias que debes tener en cuenta.

Si almacena su llave de acceso en una llave de seguridad o TPM, los sitios web pueden solicitar la marca y el modelo de su dispositivo (dependiendo de si el navegador lo permite). Normalmente, esto solamente identifica una amplia categoría de dispositivos comunes. Por ejemplo, Política de Chrome sobre claves de seguridad "espera" que cada marca y modelo distintos representen al menos 100.000 dispositivos. En el pasado, algunos fabricantes enviaban llaves de accesos en las que cada una tenía una marca y un modelo que la identificaban de forma única, lo que suponía un grave fallo para la privacidad. Es posible que otros fabricantes cometan el mismo error, pero es probable que los navegadores bloqueen esos dispositivos defectuosos. En general, los sitios web orientados al consumidor deberían evitar solicitar información sobre la marca y el modelo, ya que esta función está destinada principalmente a las empresas que gestionan su infraestructura interna de inicio de sesión. Si almacena su llave de acceso en un gestor de contraseñas, los sitios web pueden saber qué gestor de contraseñas utiliza.

Del mismo modo, algunas llaves de acceso pueden implementar un "contador de firmas"para las llaves almacenadas en ellas. Una buena implementación debería garantizar que el contador de firmas se mantiene por separado para cada sitio, pero algunas llaves de accesos mantienen un único contador de firmas para todas las claves de acceso. Esto se puede utilizar en sitios no relacionados para intentar correlacionar tu identidad buscando valores similares de ese contador de firmas. Puedes preguntar al fabricante de tu clave de seguridad cómo gestiona los contadores de firmas.

Biometría

Cuando utilices una llave de acceso, es posible que tu teléfono u ordenador te pida que utilices una huella dactilar o el reconocimiento facial. Este paso sirve para demostrar a tu dispositivo que realmente eres tú. Tu huella dactilar, tu cara o tu código de desbloqueo no se envían al sitio web. En lugar de ello, tu navegador informa al sitio de que la "verificación de usuario" se ha realizado correctamente. Por lo general, esto solamente ocurrirá si ya utilizas una huella dactilar o el reconocimiento facial para desbloquear tu dispositivo. Si prefieres no utilizar la biometría, puedes usar el PIN o patrón de desbloqueo de la pantalla.

Cuentas compartidas

Para las cuentas que compartes con otra persona, las contraseñas cambian ligeramente la situación de la privacidad. Con las contraseñas, un sitio web no sabe si eres tú o tu amigo quien teclea la contraseña. Con las contraseñas, lo más probable es que tengas que generar dos contraseñas para la cuenta: una para ti y otra para tu amigo. Cada uno de vosotros puede iniciar sesión con su propia contraseña, pero el sitio web sabrá qué contraseña está iniciando sesión.

Pérdida o robo del dispositivo

Si almacenas las llaves de acceso en una llave de seguridad, alguien que tenga acceso físico a tu llave de seguridad puede listar todas las claves de acceso, incluyendo a qué sitios pertenecen. Algunas llaves de seguridad tienen una opción para requerir un PIN antes de listar las claves de acceso, además del requisito normal de introducir un PIN antes de iniciar sesión con una llave de acceso.

Si almacenas las llaves en un gestor de contraseñas, alguien que tenga acceso físico a tu dispositivo y pueda desbloquear tu gestor de contraseñas obtendrá una lista de todos los sitios para los que tienes claves y contraseñas, ¡por no hablar de la posibilidad de iniciar sesión en esos sitios! Si tienes una cuenta secreta y necesitas protegerte de alguien con acceso físico a tus dispositivos, las contraseñas pueden ser una mejor opción; solamente asegúrate de utilizar también el modo incógnito / navegación privada, y ten en cuenta que el phishing sigue siendo un riesgo.

Cuentas en la nube

Para la mayoría de la gente, el gestor de contraseñas más cómodo será el que esté integrado en su sistema operativo: Windows Hello, Google Password Manager (en Android y ChromeOS) o iCloud Keychain. Para utilizarlos, tendrás que iniciar sesión con tu cuenta de Microsoft, Google o Apple. Si aún no has iniciado sesión con una de esas cuentas en la nube, es posible que al hacerlo se te pida que compartas un montón de datos adicionales, como tu historial de navegación y tus marcadores. En general, puedes desactivar esas funciones adicionales de "sincronización", pero requiere un poco más de atención.

También puedes utilizar un gestor de contraseñas de terceros, que no intentará sincronizar todos tus datos adicionales además de tus contraseñas.

Conclusión

Para la mayoría de los fines, las passkeys representarán una mejora significativa de la seguridad con un coste casi nulo para la privacidad. Como se describe en la entrada anterior, el ecosistema de las claves de acceso aún presenta importantes problemas de crecimiento, pero es probable que se resuelvan en un futuro próximo.