Las passkeys nos prometen un futuro sin contraseñas. Pero se están convirtiendo en jardines amurallados
La visión inicial de la tecnología en la que se basan las passkeys era totalmente abierta. El objetivo era el mismo: plantear una alternativa que nos permitiera deshacernos de las contraseñas, pero la forma de conseguirlo se está corrompiendo.
Al menos eso es lo que afirma William Brown, ingeniero software en SUSE Labs. De esto sabe un poco: es el principal responsable del desarrollo de webauthn-rs, una librería Open Source en Rust creada para implementar el estándar de autenticación WebAuthn (Web Authentication).
Esta librería fue una de las primeras en implementar ese tipo de autenticación que se buscaba con las passkeys, y ha acabado siendo usada en proyectos como authenticator-rs, utilizada en Firefox. Sin embargo, Brown se mostraba decepcionado por el camino que el ecosistema de las passkeys ha tomado.
Hay ya más de 150 plataformas que soportan passkeys: WhatsApp, X (Twitter), TikTok, PlayStation, PayPal, Microsoft, Google, Apple o Amazon están entre las emresas y plataformas que ya cuentan con esa opción tan llamativa.
En lugar de tener que recordar una contraseña por cada plataforma, las passkeys son códigos creados con criptografía de clave pública. En lugar de tener que recordarlas, se almacenan y gestionan automáticamente en nuestro dispositivo (un móvil, un PC, etc) y que nos permiten iniciar sesión mediante reconocimiento facial, dactilar o un PIN.
El problema para Brown es que las grandes empresas tecnológicas parecen haber puesto por delante sus intereses a la hora de ofrecer esa experiencia transparente para el usuario. Este desarrollador recuerda el caso de Chrome, un navegador que domina absolutamente este mercado y que está muy controlado por Google: es esta empresa la que decide lo que puede y no puede integrar Chrome.
La implementación de las passkeys es errática y desigual, pero es que hay otro problema conocido: las llaves físicas de seguridad —como las yubikeys, con las que no funcionan del todo bien, o las Titan de Google— tiene un problema de simple capacidad. Muchas de llas no pueden almacenar más de 25 claves, cuando los usuarios a menudo tenemos bastantes más plataformas a las que accedemos regularmente.
¿Qué han hecho las plataformas como Google o Apple? Convertir tu móvil en esa “llave de seguridad” y con ello encerrarte aún más en sus ecosistemas. Esas credenciales seguras no se pueden extraer o exportar, y las experiencias propuestas por los sitios web son, una vez más desiguales y no del todo efectivas.
En Wired intentaron dejar de usar contraseñas para usar solo passkeys y calificaron la experiencia de “un lío absoluto”, y diversos hilos de conversación en los foros de Reddit lo confirman.
La idea es fantástica, desde luego, pero la implementación no lo es tanto. Brown recomendaba un gestor de contraseñas como Bitwarden —Open Source y con versión gratuita— como alternativa a los ecosistemas cerrados de Apple o Google.
Según él, “Si realmente quieres usar passkeys, ponlas en un gestor de contraseñas que controles. Pero no utilices un almacén de claves controlado por la plataforma, y ten mucho cuidado con las claves de seguridad”.
Y si quieres usar una llave de seguridad física, añadía, úsala precisamente para desbloquear el gestor de contraseñas y tu cuenta de correo electrónico, que son las dos grandes pasarelas al resto de tus credenciales de acceso a otras plataformas.
Imagen | Yungkingz con Midjourney