Matemos las contraseñas. La FIDO Alliance lleva años impulsando métodos de autenticación más cómodos y seguros para el usuario. Su objetivo último es tratar de matar a las contraseñas de toda la vida, y es ahí donde entran las ‘passkeys‘, que son una alternativa a las contraseñas.
“Las ‘passkeys’ son un reemplazo significativamente más seguro para las contraseñas y otros factores de autenticación de phishing. No se pueden reutilizar, no se filtran en las violaciones del servidor y protegen a los usuarios de los ataques de phishing”, mencionó Google.
Claves cifradas. Esta alternativa se basa en claves criptográficas WebAuthn que usan un dispositivo de usuario (un ordenador, un móvil o una llave de seguridad). Esas claves se sincronizan con esos dispositivos a través de un servicio en la nube, y solo residen en un dispositivo, del cual no pueden ser copiadas.
No hay generación automática. No tendremos que recordarlas ni decirle a un programa —un gestor de contraseñas, por ejemplo— que nos la genere y la guarde. Ese proceso es automático y transparente, pero como indican en ArsTechnica, por ahora el centro de todo es sobre todo el móvil.
Bluetooth protagonista. El requisito, eso sí, es curioso: tendremos que tener Bluetooth activado en el móvil (y soporte Bluetooth en el ordenador donde necesitemos usar las ‘passkeys‘) para que ambos «se hablen» y las claves se transfieran. Aquí la tecnología Bluetooth se usa para garantizar que nuestro dispositivo seguro (el móvil, en este caso), está con nosotros, cerca de la web en la que por ejemplo queremos iniciar sesión.
Google se pone en marcha. En mayo ya hablamos de esa alianza que se había formado entre FIDO y empresas como Microsoft, Apple o Google. Ahora esta última ha anunciado que las passkeys comienzan a llegar a Android y Chrome de forma preliminar.

Chrome como intermediario. Para hacerlo tenemos que usar nuestra huella dactilar o patrón de desbloqueo, y esa clave se guardará en el gestor de contraseñas de Chrome. Gracias a eso podremos sincronizarla con el navegador Chrome en el escritorio, que la usará para registrarnos o iniciar sesión en esa aplicación o sitio web. En el ejemplo mostrado por Google también intervenían los códigos QR, pero probablemente esta sea una alternativa más a la hora de que un sitio web o app nos pida registro o inicio de sesión.

Así funcionan las passkeys de Google
Los passkeys hacen copias de seguridad y sincronizan con la nube para evitar bloqueos si se pierde el dispositivo en el que se generaron, y se pueden utilizar para iniciar sesión en sitios web en un dispositivo Android o para iniciar sesión en sitios web en otro dispositivo utilizando un teléfono Android.
Dado que se basan en los estándares de la industria, esto funciona en diferentes plataformas y navegadores, incluidos Windows, macOS, iOS y ChromeOS, con la misma experiencia de usuario.
Los desarrolladores pueden probar esto hoy mismo inscribiéndose en la versión beta de Google Play Services y utilizando Chrome. Las nuevas características de las capacidades se implementarán en canales estables a finales de este año.
“Nuestro próximo logro en 2022 será una API para aplicaciones nativas de Android. Las claves de paso creadas a través de la API web funcionarán a la perfección con aplicaciones afiliadas al mismo dominio, y viceversa”, dijo Google y agregó:
“La API nativa dará a las aplicaciones una forma unificada de dejar que el usuario elija una clave de acceso, si tiene una, o una contraseña guardada. Esta experiencia compartida para ambos tipos de usuarios ayuda a la transición a las claves de paso”.
Esto es solo el principio.
Este soporte preliminar de las passkeys está disponible ya en la beta de los Play Services de Google y en Chrome Canary. La versión final llegará antes de que acabe el año, pero aquí lo importante es además que los desarrolladores de aplicaciones móviles y desarrolladores de sitios y aplicaciones web comiencen a dar soporte a las passkeys.
Interoperabilidad.
Google ha sido la primera en ofrecer dicho soporte, pero en realidad las passkeys serán interoperables: un móvil Android podrá enviar una passkey a Safari y un iPhone podrá enviar una passkey a un Android, por ejemplo.
Microsoft y Apple también están trabajando junto a Google y FIDO para impulsar esta tecnología que quiere matar a las contraseñas, y la idea ciertamente es notable. Veremos cómo evoluciona ese soporte, pero puede que tengamos ante nosotros una valiosa alternativa —¿quizás la definitiva— a las contraseñas de toda la vida.