Las contraseñas, si bien son convenientes, son inherentemente defectuosas en la forma en que pueden ser abusadas. Si alguien obtiene su contraseña, una autenticación de un factor, a menudo puede acceder a sus cuentas en línea. Es por eso que tenemos autenticación de dos factores, que combina algo que conoces con algo que posees, como tu teléfono inteligente. Sin embargo, si usa algo como un código SMS, alguien podría, en teoría, falsificar su número de teléfono y tomar ese código. No es completamente seguro y hay varios puntos de entrada potenciales para un posible atacante. Es por eso que las claves de seguridad, que Google ha anunciado que traerá tanto a Android como a Google Chrome, son importantes.
A principios de este año, Apple, Google y Microsoft anunciaron que adoptarían el estándar FIDO para claves de acceso en todas las plataformas principales para el próximo año. Esto haría que los inicios de sesión sin contraseña fueran más comunes en Internet. Su funcionamiento es simple: en Android, convierte su teléfono inteligente en una contraseña que se puede usar para iniciar sesión en un sitio web. Estas contraseñas luego se sincronizan a través de Google Password Manager para facilitar el acceso a través de sus dispositivos y también en su computadora. Aunque solo comenzará con soporte para sitios web, la idea es que los desarrolladores puedan implementarlo en sus aplicaciones, e incluso admitir claves de acceso que pueden haber sido utilizadas para conectarse al mismo servicio en el navegador del usuario.
En caso de que le preocupe el bloqueo del ecosistema, Google ha asegurado a los usuarios que ese no será el caso, ya que se basan en los estándares de la industria. Las llaves de seguridad son independientes de la plataforma, lo que significa que incluso puede iniciar sesión en servicios que admiten llaves de seguridad usando una Mac con Safari. Se le presentará un código QR que escaneará en su teléfono inteligente Android. Lo mismo funcionará a la inversa con una clave de acceso almacenada en un iPhone para iniciar sesión en los servicios de Google Chrome.
Las claves de acceso aseguran que sin la clave almacenada en su cuenta o en su teléfono, nadie pueda iniciar sesión en ninguna de sus cuentas en línea, sin importar cuánto lo intenten. No hay número de teléfono para suplantar, nada que robar (a menos que roben su teléfono y conectarse a eso), y no hay contraseña para descifrar. Simplemente no podrán ingresar a menos que puedan convencer al proveedor de servicios para que les dé acceso, en cuyo caso, todavía era un punto de entrada vulnerable para cualquier cuenta que estuviera usando de todos modos.
Si desea probarlo, los desarrolladores pueden registrarse en la versión beta de Google Play Services y usar Chrome Canary, ya que se espera una implementación estable a finales de este año. La API WebAuthn se puede implementar en sitios web para compatibilidad con claves de seguridad en Google Chrome, Android y otras plataformas. También se espera que se lance una API a finales de este año para las aplicaciones nativas de Android.
Fuente: Google
