La industria intenta escapar de la inseguridad de las contraseñas. Y la solucion para esto son las passkeys. Los passkeys son un sistema para realizar la autenticacion sin requerir contraseña. Esta puede ser desde una llave USB fisica que conectas al ordenador a una llave "digital" que esta almacenada en tu telefono movil. Se puede combinar con un segundo factor, como la huella o un reconocimiento facial. Google crea/despliega las passkeys para acceder a sus cuentas.
Comentarios
Mal, la contraseña podías almacenarla en la memoria. Y la memoria es bastante segura en cuanto a que otra persona acceda a ella.
#1 ya, el problema esque necesitas una contraseña distinta para cada sitio web. Y los seres humanos no somos capaces de recordar taaantas contraseñas seguras distintas, al final la mayoria recurre a un gestor de contraseñas, sea en papel fisico o digital.
Luego aparte las contraseñas son sensibles al phising (que te engañen para que metas los datos). Las passkeys no se pueden hacer porque van asociado a un objeto fisico.
Esto no viene a ser lo mismo que las mochilas que llevaban algunos programas para que funcionasen? Hablamos de hace cuarenta años, de cuando estudiaba C (a secas)
Somos capaces de recordar, el problema es que con estas mierdas tecnológicas nos van a hacer cada vez más incapaces. Yo recurro a un gestor, pero nadie me obliga a ello.
En cuanto al phishing seguirá pasando igual. Es más, se añaden nuevos vectores de ataque, en lugar de reducirlos.
Yo sigo usando la misma todo y nadie ha sido capaz de adivinarla.:
******
Fuera coñas, sigo con keepass multiplataforma la misma base.
Sin dejar rastro en el portapapeles
¿Otra vez?
#17 "tenemos una tarjeta (el objeto físico)..."
Claro, como si no se pudiese hacer ninguna operación sin ella...
Pues no, en realidad una tarjeta de crédito/débito no se puede considerar parte de un MFA (factor de doble autenticación ), ya que no la necesitas absolutamente para nada. Con tal de que difundas los numeritos y letras de anverso, y reverso, todo el mundo podría utilizarla en internet.
Así pues, en realidad, los datos de la tarjeta se consideran en su conjunto una sola 'contraseña' o 'pasaphrase' más, sin que el plástico sea necesario para absolutamebte nada. Con lo cual la tarjeta física, en sí misma, no se considdera un MFA.
#2 Es tan sencillo como crear una técnica que identifique cada sitio Web y asociarlo a la misma contraseña para todos.
Por ejemplo: Fcbkff2td*, Gglff2td*, Twttff2td*,Ytbeff2td*, Tktkff2td*
#10 Las contraseñas que he puesto son sencillas para que se vea el ejemplo.
Que cada cual busque su sistema mnemotécnico para recordarlas.
#4 Si bueno, ahora puedo robártela sin tener que torturarte para sacarte la información.
#c-11" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/3888683/order/11">#11 Esta contraseña contiene símbolos como # y números como el 1 y es de Facebook.
Ea, ya os he dicho mi truco.
Una llave digital que se conecta al ordenador para que funcione a modo de contrasenya... Eso he visto bancos que llevan haciéndolo por lo menos desde el 2010.
#1 muchos passkeys, van con una contraseña propia para desbloquearse
#14 Rizar el rizo
#9 Entiendo como funciona la passkey. El phising es mucho mas complicado, si pero:
Además si te acceden al dispositivo tienen TODOS los accesos. En plan diccionario.
Al final es un gestor de claves mas solo que integrado en chrome en el caso de las passkeys de google (tambien podrian ser instalables o sistemas de ficheros).
SI voy a casa de mi amigo y quiero conectarme en su pc a mi cuenta voy a tener si que si una de estas 2:
Authenticar con el movil.
Introducir contraseña.
Básicamente no es nada nuevo. Solo en mi opinion añade mas riesgo y nuevos vectores de ataque. Por primar la "Comodidad" que como ya te digo no veo que sea mucho avance a lo que ya hay.
#18 Exacto, el mismo dice que :
" si se te permite desactivar el login con contraseña"
Lo cual a efectos practicos es inviable a dia de hoy.
El guardar las claves de manera local ya se hace pero para la sesion en curso, de manera encriptada y poder hacer varias peticiones a un mismo sitio sin tener que validar constantemente las credenciales, por ejemplo JWT. Son volatiles (se guardan en memoria, con un tiempo de expiracion generalmente corto, MUY CORTO, pocos segundos).
La unica otra opcion son los datos biometricos. Lo cual a efectos de uso personal tampoco son viables porque cualquier sensor biometrico es manipulable en un entorno no controlado como puede ser la casa de cualquier usuario.
#17 como curra en bancos se cree que el sistema de un TPV es viable para el uso personal, pero no. Lo mas parecido podria ser un monedero de criptomonedas. Donde tambien hay una frase de recuperacion. Los TPVs guardan muchas contraseñas de cifrado de los chips y las firmas en los propios TPVS y bueno otros datos. Y entiendo tu punto de vista. Pero creo que no ves que SIEMPRE va a haber un dato biometrico o un factor de conocimiento ( una palabra, una frase, una imagen, un sonido, un gesto) detras de cualquier autenticacion.
La huella dactilar, ni la mejor tecnología actual de ella, es mejor que una buena contraseña. Pero es que ni por asomo.
Saludos.
#22 Yo no hablo de una sesión, En la autenticación basada en token se envia siempre la informacion de autenticación en cada petición en el header (son peticiones HTTP).
No estoy mezclando nada. Ya dije lo que pienso y se como funciona passkey. No digo que no tengas razón pero no aporta nada nuevo. Basicamente es almacenar el JWT como si fueran las credenciales en si.
#3 yo caí en el gestor de contraseñas porque era inviable ya tener tantas contraseñas distintas en la cabeza.
El phising es bastante más complicado con passkeys. Si te conectas a go0gle.com, la passkey se negará a autenticar contra ese dominio. Ya de entrada, te estás quitando con el tipo más común de phising.
#7 ya, pero eso es una técnica tan común que es de esperar que los bots de contraseñas empiecen a probar eso.
Consiguen tu contraseña de un filtrado, hacen una prueba en tu cuenta de amazon, sino funciona, entonces prueban poniéndole la inicial del sitio. Sino, pueden probar a quitarle las vocales como has hecho tú, etc... Al final estarias usando 2-3 algoritmos muy sencillos.
Por no hablar que en ocasiones tu algoritmo va a provocar que repitas contraseñas por error. Que pasa si tienes una cuenta de Facebook para trabajo y otra personal?
Yo recomiendo usar un gestor y directamente poner contraseñas aleatorias. Pero esta claro que el futuro es usar algo fisico/hardware y no una contraseña.
#16 generalmente hay un segundo factor de autenticacion para desbloquear la passkey. Este puede ser biometrico (huella, reconocimiento facial) o un pin numérico. Al final no deja de ser algo parecido a lo que hacemos con los bancos. Donde tenemos una tarjeta (el objeto físico) y un pin para confirmar los pagos.
Se puede recrear parte del efecto con un gestor de contraseñas offline + claves aleatorias. Esto es la evolución/mejora de ese sistema. Especialmente cuando es una passkey en hardware, donde es físicamente imposible obtener las clases privadas del dispositivo.
Yo considero que si hay una mejora de seguridad, especialmente si se te permite desactivar el login con contraseña. No se me ocurre una forma de hackear una cuenta con passkey sin tener acceso físico al dispositivo que la contiene.
#18 hablaba para ir al cajero o hacer pagos en un TPV. Los pagos por internet son otra historia.
#20 Microsoft ya te deja desactivar el login con contraseña. No se porqué dices que es inviable cuando ya se hace.
Estamos mezclando claves de sesión con credenciales de autenticacion. Ni siquiera es cierto que duren segundos o se guarden en la memoria, como te crees que tu navegador te mantiene logeado en meneame? Pues porque hay una cookie con una clave de sesión que tiene un tiempo de expiracion en semanas.
Pero estamos mezclando cosas. Hablamos de autenticación, una passkey no expone nunca sus claves privadas al exterior. Es totalmente imposible acceder a ellas.
El protocolo es el siguiente. La web notifica al navegador que quiere usar una passkey, el navegador manda la solicitud a la passkey. En la solicitud añade un texto aleatorio.
El hardware responde a la solicitud firmandola y esto se entrega a la web. Dado que la web conoce la clave pública de la passkey, puede verificar la pertenencia.
No hay forma física de acceder a la clave privada. En ese sentido, es una evolución de un gestor de contraseñas, que al ser software, siempre se puede acceder a su contenido.
Sobre el factor de autenticacion, ya he dicho que muchas llaves pueden añadir un factor adicional de autenticacion (biometrico o un pin). Pero esto es solo para acceder a la llave, no se transmite a ningún sitio. Por eso he hecho la comparación de una tarjeta de banco y un TPV.
la huella dactilar es un tipo de passkey, generalmente asociada a tu teléfono móvil particular. Desde otro teléfono no podrías usarla.