Contraseñas que no son contraseñas y que son imposibles de robar y de olvidar: así son los Passkeys de Apple

[Noticias]

Contraseñas que no son contraseñas y que son imposibles de robar y de olvidar: así son los Passkeys de Apple



Leemos en xatakamovil.com

"Las cosas evolucionan, y de vez en cuando distintas mentes convergen en un mismo pensamiento que produce un gran salto evolutivo. El siguiente, a nivel de seguridad, será el que provoque el fin de las contraseñas tal y como las conocemos. Lo quieren hacer tanto Apple como Google y Microsoft, y ya han sellado algún acuerdo, así que Apple le dedicó algo de tiempo ayer en su WWDC de 2022. La solución de los creadores del iPhone se llama Passkeys y la compañía ya las había anticipado en el pasado. En las betas de iOS 15 ya llegaba la compatibilidad con las mismas pero siempre es buen momento para ponerlo todo en orden. Para saber qué son estas Passkeys y cómo nos afectarán en el día a día, porque Apple asegura que son imposibles de robar y de falsificar."

fuente: xatakamovil.com

[Noticias]

https://www.xatakamovil.com/apple/co...passkeys-apple
Ir al link original: https://www.xatakamovil.com/apple/contrasenas-que-no-contrasenas-que-imposibles-robar-olvidar-asi-passkeys-apple

[theusuario5000]

Vaya, acaban de inventar la autenticación por huella

Ah no espera, que por ej google ya lo hace desde hace años
Ah no espera, que la mayoria de bancos ya lo hace desde hace años

Ademas, lo plantean fatal, yo si me registro en miscontactos.com desde el Iphone y activo la huella, y quiero entrar desde el PC?

Es intentar poner soluciones por poner, porque no solucionan nada

[apriliars3]

 Cita: Originalmente Escrito por theusuario5000

Vaya, acaban de inventar la autenticación por huella

Ah no espera, que por ej google ya lo hace desde hace años
Ah no espera, que la mayoria de bancos ya lo hace desde hace años

Ademas, lo plantean fatal, yo si me registro en miscontactos.com desde el Iphone y activo la huella, y quiero entrar desde el PC?

Es intentar poner soluciones por poner, porque no solucionan nada

Tanto Apple como Google y Microsoft se han unido a FIDO Alliance para garantizar que el usuarios pueda iniciar sesión en las cuentas sin usar contraseñas.

Y da igual uses tus datos biometricos ya que está sincronizado con tu cuenta, por lo que tu eres la contraseña.

El problema como siempre es que es más sencillo que una persona la "engañen" para dar su permiso que robar las contraseñas, ya que lo normal es que la gente se fie de dar siempre todos los datos cuando cualquier compañia o banco le pida sus datos de seguridad.

Lo que es, es autenticación mediante un par de claves criptográficas, una pública y una privada mediante Webauthn.

El tema de tener la clave privada en uno de tus dispositivos (el iPhone) y querer entrar desde otro dispositivo (el PC) está totalmente contemplado y es posible hacerlo.
Las webs / apps , pueden mostrar un código QR que establece una conexión entre los 2 dispositivos, el cliente y el que hace la autenticación (mediante Bluetooth, para garantizar la cercanía de los 2 dispositivos y evitar ataques)

Personalmente, solo usaría un sistema así en el momento en el que pueda utilizar un servicio de terceros que me permita en un momento dado irme de un proveedor a otro sin mayor complicación. Mientras no sea así, seguiré utilizando 1password + yubikey como 2FA que funciona de la misma forma (par de claves criptográficas pública/privada).

Si alguien tiene interés, ayer había una charla del WWDC que explicaba en detalle lo que acabo de resumir https://developer.apple.com/videos/play/wwdc2022/10092

[Juanro49]

"Cada uno de los identificadores será único, se crearán en el interior del teléfono y nunca saldrán hacia el exterior salvo en el momento de la identificación en la página web o servicio correspondiente."

Su implementación es libre? si no es asÃ*, no se puede confirmar que en este caso Apple (aunque vale para todas) haga mal uso de ello (como suele pasar siempre ). Además, aun está muy verde y solo piensan en su propio ecosistema, "forzando" a los usuarios a tener todos los dispositivos pertenecientes a un ecosistema.

Seguiré usando keepass para contraseñas hasta que salga algo libre mejor y que no sea excluyente

 Cita: Originalmente Escrito por Juanro49

Además, aun está muy verde y solo piensan en su propio ecosistema, "forzando" a los usuarios a tener todos los dispositivos pertenecientes a un ecosistema.

Es cross-platform. De hecho en el vídeo que añadí en mi último comentario tienen una parte demo en la que se ve como se hace uso de la funcionalidad desde un PC con Windows utilizando como dispositivo para la autenticación un iPhone.

[Juanro49]

 Cita: Originalmente Escrito por Erfolg

Es cross-platform. De hecho en el vídeo que añadí en mi último comentario tienen una parte demo en la que se ve como se hace uso de la funcionalidad desde un PC con Windows utilizando como dispositivo para la autenticación un iPhone.

si, pero no es crossplatform en verdad, depende siempre del iphone (y cuando google haga lo mismo, se dependerá de un android con la basura de los GMS ), por lo que en realidad depende siempre de un sistema concreto. (ya que si quieres hacer login desde un pc, necesitas si o si un movil con unos servicios específicos a mano jeje)



viendo el video, el par de claves se almacenan en un keychain de icloud, por lo que ademas de ver que cada uno va a hacer su implementación como suele ser habitual, es una aberración para la privacidad al compartir y sincronizar la clave privada pasando por un tercero (por mucha falsa "seguridad" que vendan en apple o cualquier otra big tech jaja).


Debido a que cada uno hará la guerra por su cuenta fomentando asi una incompatibilidad, "forzaran" a los usuarios a seguir optando por sus productos cuando les toque renovarlos al tener sus claves en el keystore de icloud, de drive (cuando google haga lo mismo) o el que sea y no poder exportarlo jeje. Eso sumado a estar obligado a almacenar las claves en servidores de esas empresas lo que hace es hacernos mas dependientes de ellas