Google comenzó a implementar de forma oficial el soporte para passkeys, el estándar de inicio de sesión sin contraseña de próxima generación, en su versión estable del navegador web Chrome.
«Las claves de acceso son un reemplazo significativamente más seguro para las contraseñas y otros factores de autenticación de phishing. No se pueden reutilizar, no se filtran en las violaciones del servidor y protegen a los usuarios de los ataques de phishing», dijo Ali Sarraf, de Google.
La función de seguridad mejorada, que está disponible en la versión 108, llega casi dos meses después de que Google comenzara a probar la opción en Android, macOS y Windows 11.
Las claves de acceso evitan la necesidad de contraseñas al requerir que los usuarios se autentiquen durante el iniio de sesión desbloqueando su dispositivo Android o iOS cercano mediante biometría. Esto, sin embargo, requiere que los sitios web creen compatibilidad con claves de paso en sus sitios usando la API de WebAuthn.
Esencialmente, la tecnología funciona mediante la creación de un par de clave criptográficas único para asociar con una cuenta para la aplicación o sitio web durante el registro de la cuenta. Una de estas claves, la clave pública, se almacena en el servidor. La clave privada, por otro lado, nunca sale del dispositivo en el que se generaron las claves.
En Android, las «claves» se cargan en Google Password Manager (o en un tercero como 1Password o Dashlane) para evitar bloqueos. Las claves de acceso se sincronizan por medio de iCloud Keychain en iOS y macOS, mientras que Microsoft Windows está configurado para ofrecer soporte en 2023.
«Cuando se realiza una copia de seguridad de una clave de acceso, su clave privada se carga solo en su forma cifrada usando una clave de cifrado a la que solo se puede acceder en los propios dispositivos del usuario», dijo Arnar Birgisson, ingeniero de software de Google.
La idea es proteger las claves de acceso de Google para que un atacante dentro de la empresa no pueda usarlas para iniciar sesión en su servicio en línea correspondiente sin acceso a la clave privada.
También se espera que la compañía de Internet y publicidad ponga a disposición una nueva API para proporcionar compatibilidad con claves de paso para las aplicaciones de Android.
