Google y otras compañías han estado trabajando con FIDO Alliance para cambiar la forma en que funciona la seguridad en línea utilizando un concepto que llaman el Llave maestra. Es una gran idea con algunas fallas que significan que no es realmente algo que Google debería ofrecer a todos.
Las claves de acceso funcionan con dos elementos críticos: hardware especial que ya se encuentra dentro de la mayoría de los mejores teléfonos Android y software de criptografía que cumple con todas las especificaciones para convertirlo en lo que se llama una credencial FIDO.
Cuando configure su teléfono, se creará una clave única y se almacenará en el enclave seguro de su teléfono. Este identificador se utilizará con el estándares FIDO para crear un conjunto de credenciales que se pueden pasar a cualquier dispositivo que esté en comunicación con su teléfono, o cualquier software que se esté ejecutando en ese dispositivo, como el navegador web o una aplicación.
Una vez que todo esté configurado, todo lo que necesita hacer es desbloquear su teléfono para proporcionar estas credenciales seguras.
No está proporcionando ninguna información que pueda usarse para identificarlo, pero cada conjunto de credenciales sigue siendo único. El único componente en línea es una clave de respaldo almacenada en la nube para ayudarlo a recuperar sus cuentas.
En términos simples, esto significa que su teléfono almacenará una clave. Cuando desea acceder a una cuenta en línea que funciona con claves de acceso, desbloquea su teléfono y la clave prueba que realmente es usted.
Me gusta este futuro donde las contraseñas y los nombres de usuario realmente no existen. No tanto como Apple y Google, que saben que casi tienes que tener un teléfono compatible para usarlo y solo hay dos opciones reales allí, iOS y Android, pero creo que es un paso a la derecha dirección.
Habiendo dicho eso, no te recomiendo que saltes y lo enciendas tan pronto como veas un aviso o recibas un correo electrónico de Google. Simplemente no está completamente listo.
El proceso de incorporación en sí está un poco a medias. Algunos de mis colegas aquí en Android Central lo han leído casi con éxito y después de jugar con un código QR que se muestra en un teléfono y se le pidió que lo escaneara con el mismo teléfono, URL que están rotas y en realidad no hacen nada cuando las toca, y se le dice que el clave de seguridad USB necesitaba ser insertado a pesar de que nunca se configuró uno, todos llegamos a la misma conclusión: esto no está listo para el horario de máxima audiencia.
Eso no significa que no pueda estar o no estará listo en el futuro. Hemos visto esto de Google antes: apresure una característica que aún necesita mucho pulido antes se lo das a miles de millones de usuarios, y hemos visto que Google lo cambia rápidamente y lo hace funcionar como destinado. Significa que, en este momento, configurar su cuenta con una clave de paso puede ser una experiencia realmente mala.
Sin embargo, ese no es el verdadero problema, al menos en mi opinión. Mi problema es que está vinculado a un dispositivo físico que debe tener a mano si desea utilizar un servicio en línea.
Ese dispositivo no tiene que ser un teléfono. También puede usar una llave de seguridad física, un dispositivo portátil o cualquier cosa con el soporte de hardware y software correcto para actuar como autenticador. Y eso funciona bien: uso un Llave USB compatible con FIDO como un método de autenticación de dos factores para acceder a mis cuentas. También sé que tengo una solución de respaldo fácil para los momentos en que no tengo mi llave como hoy cuando no estoy en casa en mi propia oficina. Google Authenticator o incluso SMS pueden ser un salvavidas.
Sin embargo, la mayoría de las personas usarán su teléfono como clave de paso. Ya lo tienes, gastaste mucho dinero en él y la empresa a la que lo compraste te dijo lo seguro que es todo. Además, Google facilita el uso de su teléfono porque quiere que usted dependa aún más de su teléfono.
Pregúntese, sin embargo, ¿podría alguna vez perder su teléfono? Ahí es donde las cosas no son tan fáciles.
Teóricamente, todo lo que necesita hacer para volver a habilitar su clave segura es iniciar sesión en su cuenta de Google con un teléfono nuevo. Supongo que incluso el "futuro sin contraseña" necesitará una contraseña. Si bien no he podido probar esto, diré que probablemente funcione según lo previsto porque es la parte menos compleja. del sistema: mantenga una copia de seguridad de la parte importante, pero inútil por sí sola, en la nube para recuperarla si alguna vez la necesita él.
Con suerte, no lo eres bloqueado de su cuenta de Google y puede recordar la contraseña real que le dijeron que ya no necesita, y tiene una manera de obtener un SMS de Google o iniciar sesión en un aplicación de autenticación. Todo sin tu teléfono en tus manos. Dios te ayude si te robaron el teléfono y alguien arruinó tu cuenta tratando de ingresar demasiadas veces.
Estos son problemas reales de los que escuchamos todos los días. Ya es horrible no poder ayudar a alguien a volver a su cuenta donde se almacenan años de fotos. Tener sus inicios de sesión para cosas de Netflix a su banco inaccesibles mientras todo se soluciona es una pesadilla.
Muy pronto todos usaremos claves de acceso porque no tendremos otra opción. Antes de que eso suceda, espero que alguien esté pensando en hacer que el sistema sea más fácil de usar.