Érase una vez, iniciar sesión en sitios y aplicaciones fue simple. Recuerdas esos días, ¿verdad? (Realmente no lo fueron hace mucho tiempo, aunque según los estándares tecnológicos, han pasado aproximadamente siete siglos). Todo lo que harías es recordar un solo nombre de usuario y contraseña, o tal vez ponerlo en un post-it y pegarlo en la parte inferior de tus 11 ″ Oatmeal-Grey 7,000 lb. Monitoree el monstruo, si realmente se sintiera elegante, y eso es todo: estaría listo para apresurarse a cualquier sitio o servicio que quisiera, cuando surgiera la necesidad. Ahora, es otra historia. Si está siguiendo las mejores prácticas, tiene contraseñas alfanuméricas únicas y complejas para cada sitio y servicio que visita, administrado por un administrador de contraseñas y complementado por la autenticación de dos factores. Y si eso no es suficiente, cada vez más se le solicita que elimine todos esos elementos y, en su lugar, confíe en un método de autenticación más nuevo e aún más desconcertante llamado PassKey. Ya sea que sea un tecnófilo amante de los gadget o un tecnófobo perpetuamente confundido, y si usted es un usuario tecnológico individual o parte de una organización corporativa más amplia, la única realidad consistente sobre las veras pasas es que son confusos como una salida. Su objetivo puede ser simplificar la seguridad en torno a los letreros, pero en realidad, crean todo tipo de incertidumbre y preguntas sin respuesta. Piense en esto como su lugar único para encontrar esas respuestas esquivas. Es hora de sumergirse profundamente en las veras pasas y explorar todas las preguntas apremiantes sobre cuáles son, cómo funcionan y cómo puede ponerlas en el uso adecuado, sin ponerse en peligro. Primero: ¿Qué son Passkeeys, de todos modos? Comencemos por el principio: las verses pasas son una característica de seguridad relativamente reciente que le permite iniciar sesión en una cuenta simplemente autenticando en un dispositivo con su huella digital o escaneo facial, o, en algunos casos, otro mecanismo de bloqueo de pantalla (por ejemplo, el PIN o el código de acceso que colocó en su dispositivo cuando lo enciende por primera vez). En cierto sentido, es como la autenticación de dos factores, solo en lugar de escribir una contraseña tradicional y luego verificarlo como un segundo paso, básicamente saltas bien a ese segundo paso con el conocimiento de que dicha acción muestra que ya has desbloqueado un dispositivo aprobado y demostrado tu identidad. Entonces, ¿cómo es eso mejor que una contraseña, en términos de seguridad? La idea es que las contraseñas son inherentemente vulnerables, ya que son códigos basados ​​en texto que escribe o almacena en algún lugar y, por lo tanto, que alguien más podría acceder o descubrir (o encontrar en una de las interminables series de violaciones que escuchamos en estos días). Con una clave de passación, se elimina esa variable arriesgada. En su lugar, se inicia iniciativa únicamente en el hecho de que ya ha desbloqueado su teléfono o computadora, idealmente utilizando alguna forma de autenticación biométrica, pero al menos usar un PIN o código de contraseña allí, y por lo tanto ya ha demostrado quién es usted. Y establece una clave de acceso diferente para cada sitio o servicio, eliminando la posibilidad de credenciales reutilizadas. Además, personalmente tiene ese dispositivo frente a usted, lo que significa que un hacker no podría descifrar el código y fingir que usted sin tomar físicamente su dispositivo y poder superar su pantalla de bloqueo. Eso también significa que el tema de larga data de Phishing, donde alguien lo engaña para que comparta sus credenciales de inicio de sesión para que pueda robarlas, ya no es realmente posible (a menos que se trate de omitir el PassKey por completo e ingrese una contraseña tradicional en algún lugar del camino). Y significa que ya no estás pasando por un engorroso proceso de varios pasos cada vez que necesitas iniciar sesión en algo, ya que las veras pasas agilizan esos pasos y se quitan la carga de los hombros. ¿Cómo se almacenan passkeys? ¿No podría alguien todavía robarles? A nivel técnico, los bits y bytes que forman un control de passey están encriptados con la criptografía de clave pública, una forma elegante de decir que dependen de un par de llaves, una que sea pública y otra que se almacene en privado en su dispositivo local, lo que los hace excepcionalmente difíciles de romper o desviarse. Eso es en gran parte debido a la forma en que funciona la clave de la clave privada del rompecabezas: en resumen, el sitio en el que está firmando nunca ve su clave privada y solo recibe confirmación de que está presente y válido. La clave en sí misma permanece en su dispositivo, con un cifrado que lo mantiene ilegible hasta el momento en que se autentica. Los datos reales de PassKey nunca se transfieren durante el inicio de sesión, y no hay un mecanismo real para copiarlos y pegarlos en cualquier lugar, como lo haría con una contraseña, por lo que el potencial para que un hacker lo explote es bastante delgado. La única arruga adicional es que para la mayoría de las personas y los propósitos, los datos de PassKey subyacentes (y encriptados) se sincronizan con un servicio conectado a una cuenta segura que posee y, por lo tanto, puede usar para volver a firmar y restaurar la tecla PassKey en un dispositivo diferente. Ese es el caso con el sistema de Google Password Manager asociado con Android, con el sistema de llavero iCloud asociado con iOS, y con la mayoría de los administradores de contraseñas de terceros, como 1Password y Bitwarden, también. Pero la versión del PassKey almacenada en dicho servicio está envuelta de forma segura y no en ninguna forma cruda, legible o exportable. Es solo cuando los datos están en su dispositivo autenticado que ocurre (localmente, en el dispositivo) y la operación de firma puede tener lugar, con los elementos de hardware seguros de su dispositivo y su autenticación en el dispositivo que sirve como elementos clave que no se pueden replicar en ningún entorno de nube. Como con cualquier sistema de seguridad, no se puede decir que sea 100% infalible o imposible de verse comprometido. Pero, nuevamente, con todas las capas en su lugar y la dependencia de los mecanismos locales en el dispositivo, las probabilidades de que cualquier truco tenga lugar parezca bastante pequeño, ciertamente mucho más pequeño de lo que serían con una contraseña más convencional o incluso una contraseña con una contraseña de un enfoque de autorización y los puntos adicionales de vulnerabilidades presentes. ¿Qué pasa con la autenticación de dos factores, entonces? ¿Eso todavía existe? La autenticación de dos factores sigue siendo absolutamente aconsejable en cualquier escenario de inicio de sesión tradicional, pero con una tecla Passey, no: no es necesario, ya que ese primer paso (la contraseña) ya no es relevante y el segundo factor (el PassKey) ya está integrado y presente. Si pierdo el dispositivo donde se almacena una clave de pase, ¿no podría otra persona usarlo? Una excelente pregunta de hecho. Dado que el dispositivo ya está protegido por una pantalla de bloqueo, lo que requiere que su autenticación pase, nadie más debería poder ingresar al dispositivo, y mucho menos llegar a un punto en el que se autenticen a medida que usted por segunda vez e inicio de sesión en algo con su tecla Passey. Y, por supuesto, si alguna vez pierde un dispositivo, estaría bien aconsejado para aprovechar los sistemas para restablecerlo de forma remota lo antes posible para borrar todos los datos almacenados y esencialmente eliminar cualquier riesgo (incluso en su mayoría teórico). Pero si pierdo el dispositivo, o incluso solo restablecimiento, o me muevo a un nuevo dispositivo, ¿no perdería el acceso a los Passkeys almacenados? Es posible, y ahí es donde las veras pasas pueden ser particularmente desconcertantes. Recuerde: en la mayoría de las situaciones, los datos subyacentes se almacenan de forma segura en un servicio que maneja la creación de PassKey: Google Password Manager, iCloud Keychain o cualquier número de administradores de contraseñas de terceros. Esos datos no se pueden usar o accesibles en esos lugares, pero está disponible para sincronizar a un dispositivo seguro una vez que se registra y autenticó. Eso significa que si alguna vez cambia los dispositivos por algún motivo, simplemente puede volver a iniciar sesión en el servicio apropiado y acceder a sus versas pasadas según sea necesario en ese nuevo entorno. La mayoría de los servicios también le permiten crear y administrar múltiples keys en múltiples dispositivos, como es el caso de Google, por ejemplo, a través de su sitio web de Universal Google Cuenta. Y, si todo lo demás falla, la mayoría de los servicios aún le permitirán iniciar sesión con su contraseña tradicional como copia de seguridad. Aparte de eso, a menudo puede optar por tener una clave de passey almacenada en una llave de seguridad física (¡indica la confusión!), Que es un palo USB o Bluetooth como el hecho de Yubico y Google. En esos casos, la clave se limita a ese solo aparato y se puede usar en cualquier lugar que esté conectado, pero si la pierde, se pierde, por lo que desea ser extraordinario y consciente de los riesgos (así como extracontratizante de cualquier método de respaldo disponible) si opta por seguir esa ruta. Hablando de opciones, ¿puedo tener múltiples keys para un solo sitio? En términos generales, ¡puedes! Todo depende del dispositivo o servicio específico que esté utilizando para crear y almacenar sus Passkeeys, pero con su cuenta de Google, por ejemplo, puede crear tantos PassKeys como desee en múltiples dispositivos seguros para que siempre tenga opciones disponibles. Google le permite crear y administrar múltiples keys para que tenga muchas formas de iniciar sesión en una cuenta. Jr Raphael / Foundry está bien, entonces, ¿dónde puedo usar exactamente una clave de passey? Esta es otra área de complicación: es un poco de un salvaje oeste en lo que respecta al soporte de PassKey en este momento, y no hay una excelente manera de saber si un servicio lo hace, o no lo hace, le permite crear y usar una llave de Passey sin simplemente profundizar en su configuración o esperar para ver si ofrece la oportunidad. Dicho esto, cada vez más aplicaciones y servicios de orientación profesional están comenzando a agregar soporte de Keyk, y muchos de los contendientes comunes de software de negocios ya están a bordo. Puede crear y usar PassKeys con aplicaciones de Apple, Google, Microsoft, Adobe y Hubspot, por ejemplo. Docusign, Notion, Stripe, LinkedIn y Zoho se encuentran entre las otras compañías que también ofrecen apoyo. Es casi seguro que no es una base de datos integral o actualizada, sino un sitio de crowdsourcing llamado PassKeys. Directorio tiene una lista útil de lugares donde las veras pasas están disponibles actualmente. ¿Cómo creo una clave de passey en primer lugar? Por desgracia, no hay un proceso simple y consistente, ya que realmente depende del sitio o servicio específico. Pero en términos generales, si algo admite PassKeys en primer lugar, lo solicitará automáticamente que cree uno a medida que se registre o lo alienta a que se lleve a su configuración de seguridad o inicio de sesión para encontrar la opción para crear una tecla Passey allí. Para un puñado de ejemplos específicos, aquí están las instrucciones de creación de passKey para: Google Microsoft Apple Adobe Hubspot La noción lo consiguió. Una vez que tengo uno, entonces, ¿cómo lo uso realmente? Mi, estás lleno de preguntas astutas, ¿no? Una vez más, la respuesta aquí varía un poco dependiendo del sitio o servicio específico, ya que depende de cada entidad individual determinar cómo funciona exactamente su configuración de inicio de sesión. (¿Siendo un tema aquí todavía?) En general, en general, una vez que haya configurado una clave de passación, verá una opción para usarlo como parte del proceso de inicio de sesión estándar o ver una confirmación automáticamente que confirma su presencia en algún momento en el camino. Iniciar sesión con una llave de pase suele ser solo una cuestión de hacer clic en un botón y confirmar su identidad. Jr Raphael / Foundry ¿Es esto lo mismo si estoy usando una cuenta empresarial o conectada a la empresa? Sobre todo, y tal vez. Si su cuenta forma parte de un equipo asociado a la empresa, podría existir ciertas restricciones sobre cómo y cuándo puede usar las verses pasas. Si algo no funciona de la manera que esperaría, es posible que deba consultar con el departamento de TI de su organización o administrador para ver qué opciones están disponibles y si se deben otorgar permisos especiales. En un entorno empresarial, puede tener aún más requisitos sobre qué tipos específicos de aplicaciones o dispositivos se pueden usar para almacenar sus versas, especialmente si su organización depende de una solución de inicio de sesión de un solo sitio (SSO), como Microsoft Entra o la configuración SSO de Google. Su empresa puede requerir que use una clave física, por ejemplo, o una aplicación específica como Microsoft Authenticator. Pero, aparte, el proceso de configuración y inicio de sesión real para PassKeys en entornos empresariales y/o SSO no debería ser diferente de configurar y iniciar sesión con una clave de aprobación en cualquier otro escenario. ¿Es posible decir ‘Passey’ 10 veces rápido sin SLIRING? Si le das la mente, puedes lograr cualquier cosa. ¡Creo en ti! (Pero, por favor, en aras de su futuro profesional, limite su práctica a las horas después del trabajo). ¿Alguien solicita una clave de pase y accidentalmente obtiene un pastel? Aunque solo, mi amigo. Si solamente.