Passkey vs. contraseña: ¿cuál es mejor y por qué?

Passkey vs. contraseña: ¿cuál es mejor y por qué?

La seguridad digital evoluciona constantemente, ofreciendo nuevas formas de proteger nuestros datos. Una de las tecnologías recientes, que desde 2022 casi se ha convertido en una axioma, es la passkey. ¿Puede sustituir a las contraseñas tradicionales, como prometen algunos especialistas? Revisemos las particularidades de ambas tecnologías y tratemos de mirar hacia el futuro.

Contraseñas: el guardián probado por el tiempo de nuestros datos

Antes de adentrarnos en el mundo de la passkey, recordemos qué es una contraseña y por qué sigue siendo el método principal de protección.

Qué es una contraseña: obvio, pero importante

Una contraseña es una combinación secreta de caracteres que el usuario introduce para confirmar su identidad y obtener acceso a una cuenta. Esta tecnología se utiliza desde hace décadas y durante ese tiempo ha evolucionado considerablemente.

Desde el punto de vista técnico, las contraseñas funcionan mediante la comparación de hashes. Cuando el usuario crea una contraseña, el sistema genera su hash: una cadena única obtenida mediante un algoritmo específico (por ejemplo, bcrypt o Argon2). Ese hash se guarda en la base de datos. Al intentar iniciar sesión, el sistema vuelve a calcular el hash de la contraseña introducida y compara el resultado con el hash guardado. Si coinciden, se concede el acceso.

Ventajas de las contraseñas:

  • Universalidad: prácticamente todos los servicios admiten autenticación mediante contraseña.
  • Independencia del dispositivo: se puede acceder a la cuenta desde cualquier equipo con solo conocer la contraseña.
  • Simplicidad de concepto: la mayoría de usuarios entienden de forma intuitiva cómo funcionan las contraseñas.
  • Posibilidad de combinaciones complejas: las contraseñas modernas pueden ser muy seguras con el enfoque correcto. Por ejemplo, el uso de frases largas de más de 20 caracteres las hace prácticamente imposibles de adivinar por fuerza bruta.

Desventajas de las contraseñas:

  • Vulnerabilidad a ataques: las contraseñas débiles son fáciles de descifrar.
  • Dificultad de memorización: las contraseñas seguras suelen ser difíciles de recordar.
  • Riesgo de reutilización: muchas personas usan la misma contraseña en distintos sitios. Esto crea un efecto dominó: la brecha de una cuenta puede comprometer las demás.
  • Vulnerabilidad al phishing: los usuarios pueden revelar sus contraseñas a estafadores por error. Por ejemplo, los atacantes pueden crear un sitio falso, visualmente idéntico al original, para engañar al usuario y conseguir sus credenciales.

Passkey: una nueva propuesta en autenticación

Ahora conozcamos la tecnología passkey, pensada para resolver muchos de los problemas de las contraseñas tradicionales.

Qué es una passkey?

La passkey es una tecnología de autenticación que emplea claves criptográficas en lugar de contraseñas. Funciona según un modelo de desafío-respuesta, en el que una parte de la clave se guarda en el usuario y otra en el servidor.

Técnicamente, la passkey se basa en el estándar WebAuthn y utiliza cifrado asimétrico. Al registrarse se crea un par de claves: la clave pública se almacena en el servidor y la privada permanece en el dispositivo del usuario. Esto aporta un alto nivel de seguridad, ya que incluso si se vulnera el servidor, los atacantes no obtendrán acceso a las claves privadas de los usuarios.

Ventajas de la passkey:

  • Mayor seguridad: resistente al phishing y a filtraciones masivas de datos.
  • Comodidad de uso: no hace falta memorizar combinaciones complejas. En su lugar, el usuario puede emplear datos biométricos (huella dactilar, reconocimiento facial) o el código PIN del dispositivo para confirmar su identidad.
  • Unicidad por servicio: cada sitio utiliza su propia clave. Esto significa que, incluso si un servicio se ve comprometido, las demás cuentas del usuario permanecen seguras.
  • Automatización del proceso: la autenticación ocurre sin intervención complicada del usuario. El sistema genera y negocia las claves criptográficas, y al usuario solo le resta confirmar su identidad en el dispositivo.

Desventajas de la passkey:

  • Dependencia del dispositivo: la pérdida del equipo puede causar problemas de acceso. Esto ocurre porque la clave privada se almacena en el dispositivo, y su pérdida implica la pérdida de acceso a las cuentas vinculadas.
  • Soporte limitado: no todos los servicios están preparados para adoptar esta tecnología.
  • Complejidad de la transición: los usuarios necesitan tiempo para acostumbrarse al nuevo sistema. Esto es especialmente relevante para personas con menor familiaridad tecnológica y acostumbradas a métodos tradicionales de autenticación.

Comparación entre passkey y contraseñas: ¿quién ganará?

Ahora que entendemos las particularidades de ambas tecnologías, comparémoslas según parámetros clave:

  1. Seguridad:
    • Contraseñas: son vulnerables a distintos ataques, pero con un uso adecuado pueden ser bastante seguras.
    • Passkey: ofrece un alto nivel de protección gracias a métodos criptográficos. El uso de cifrado asimétrico hace que la passkey sea prácticamente invulnerable a técnicas tradicionales de ataque.
  2. Comodidad de uso:
    • Contraseñas: requieren memorización o el uso de gestores de contraseñas.
    • Passkey: el proceso de autenticación es mayoritariamente automático.
  3. Universalidad:
    • Contraseñas: son compatibles casi en cualquier lado.
    • Passkey: su soporte es limitado actualmente.
  4. Recuperación de acceso:
    • Contraseñas: existen procedimientos estándar de recuperación.
    • Passkey: puede resultar problemático en caso de pérdida del dispositivo.
  5. Resistencia al phishing:
    • Contraseñas: vulnerables a ataques de suplantación.
    • Passkey: alta resistencia gracias a su naturaleza criptográfica.
  6. Escalabilidad:
    • Contraseñas: puede haber problemas para gestionar un gran número de contraseñas en distintos servicios.
    • Passkey: es fácil de escalar, ya que cada servicio genera una clave única sin intervención del usuario.

Por qué la passkey no sustituirá por completo a las contraseñas

A pesar de las ventajas de la passkey, es poco probable que las contraseñas desaparezcan por completo en el futuro cercano. Estas son algunas razones:

  1. Inercia de los usuarios: las personas están acostumbradas a las contraseñas y no siempre desean cambiar sus hábitos.
  2. Compatibilidad con sistemas existentes: muchos servicios críticos siguen dependiendo de contraseñas.
  3. Necesidad de un método de respaldo: incluso con passkey se requiere una manera de recuperar el acceso. Mientras que para las contraseñas existen procedimientos estándar de recuperación (por ejemplo, vía correo electrónico), los métodos para passkey aún no están estandarizados y pueden variar según el servicio.
  4. Diversidad de dispositivos: no todos los equipos admiten las nuevas tecnologías de autenticación.
  5. Complejidad para las empresas: implementar passkey exige inversiones y cambios en la infraestructura. Esto incluye no solo la actualización de software, sino también la formación del personal y de los usuarios en el nuevo sistema.

Futuro de la autenticación: un enfoque híbrido

Lo más probable es que el futuro de la autenticación sea híbrido, donde passkey y contraseñas coexistan:

  • La passkey se usará para la autenticación diaria en dispositivos y servicios compatibles.
  • Las contraseñas permanecerán como método de respaldo y para sistemas que no soporten las nuevas tecnologías.
  • La autenticación multifactor combinará distintos métodos para lograr la máxima seguridad.

Cabe destacar que grandes empresas tecnológicas, como Apple, Google y Microsoft, ya están integrando soporte para passkey en sus productos. Por ejemplo, en iOS 16 y macOS Ventura se introdujo soporte integrado para esta tecnología. Esto acelerará considerablemente la adopción de las passkey, aunque no implica un abandono inmediato de las contraseñas.

Aspectos prácticos del uso de passkey

Para comprender mejor la tecnología passkey, consideremos algunos aspectos prácticos de su uso:

  1. Registro: al crear una cuenta con passkey, no es necesario inventar una contraseña. En su lugar, el sistema propondrá generar una clave vinculada al dispositivo y, posiblemente, a datos biométricos.
  2. Inicio de sesión: cuando quiera acceder a la cuenta, el sitio enviará una solicitud al dispositivo. Será preciso confirmar la identidad (por ejemplo, con huella dactilar o Face ID) y el inicio de sesión se realizará automáticamente.
  3. Uso en distintos dispositivos: aunque la passkey está asociada a un dispositivo, muchas implementaciones permiten sincronizar las claves entre equipos mediante servicios en la nube. Esto resuelve el problema del acceso desde diferentes dispositivos.
Alt text
article-title

Techno Lady