edición general
109 meneos
1693 clics
Las passkeys iban a ser el futuro, pero estamos en 2025 y seguimos atrapados en el pasado

Las passkeys iban a ser el futuro, pero estamos en 2025 y seguimos atrapados en el pasado

Hace más de dos años vimos la llegada de las passkeys con una promesa clara: resolver un problema tan antiguo como es la inseguridad y la molestia de las contraseñas. Dos años después de que empezase su despliegue, esa promesa sigue incumplida. Lo remarca Ars Technica en un estupendo análisis que prolonga lo que llevamos tiempo contando. La tecnología en la que se basan es bastante convincente sobre el papel. Usa criptografía de clave pública-privada para autenticar usuarios. Además, una passkey no puede ser robado y es inmune al phishing.

| etiquetas: passkeys , gestor , contraseña
53 56 0 K 442 tecnología
61 comentarios
53 56 0 K 442 tecnología
Comentarios destacados:                
#33 topecb
#25 Eso hago yo pero con la cuenta de correo que registro, ya que uso gmail y me puedo registrar (en casi todas las páginas) con miusuario+meneame@gmail si el día de mañana recibo spam y me pone que se ha enviado a +meneame, sé que menéame ha vendido o filtrado mi correo.

Si que es verdad que hay algunas páginas que no permiten el + en el correo y me toca jugar con los "puntos", ejemplos:
Correo original: miusuario@gmail
Página 1: m.iusuario
Página 2: mi.usuario
Página X: m.i.u.s.uario

Y así (como mi correo tiene 18 caracteres) puedo ir jugando con multitud de opciones
5 K 60
#54 baronluigi
#33 Esto es lo que uso para crear cuentas de mega, mediafire y microsoft.
0 K 9
comunerodecastilla #55 comunerodecastilla
#33 Pues creo que acabas de dar unas pautas cojonudas para deducir tu cuenta principal a partir de varias secundarias. :-/
0 K 10
#59 joselix
#55 y que mas da? los ataques dirigidos no van a por mindundis como los que comentamos aqui. A nosotros nos afectan cosas de fuerza bruta, uso repetido de user+pwd, etc... ni nosotros ni nuestras cuentas corrientes valemos lo suficiente como para que nos dediquen mas recursos (bueno, alguna excepcion habra, pero diria que el 99.9999% de los meneantes somos totalmente irrelevantes)
0 K 6
Gry #23 Gry
#2 Yo estoy muy viejo para recordar contraseñas, ahora pongo cosas al azar y cuando tengo que volver a hacer login uso la opción de recuperarla. :-P
3 K 40
leporcine #24 leporcine
#23 Mi método favorito ahora mismo si es que dan la opción es el login/registro con facebook, no tengo amigos ni publicaciones ni nada, lo uso exclusivamente con este fin.
0 K 7
mecha #25 mecha
#23 quitando el banco y el correo, en la mayoría de sitios uso de contraseña algo tipo "perrito.sitio.com". Me la pela si me quitan la cuenta, y añado al final el nombre del sitio solo para cuando hay alguna filtración saber dónde ha sido.
3 K 28
#32 topecb
#29 Deberían permitirlos pero no al principio ni al final, una buena práctica es hacer un trim (borrar espacios al principio y al final del string) en todos los input de usuario, porque muchas veces copian y pegan con un espacio al final y tienen que llamar a soporte porque no les funciona la contraseña, o no les identifica el correo...
4 K 40
comadrejo #35 comadrejo
#32 Antes de la validación de una entrada siempre hay que recortar con trim y escapar html (en el caso de entorno web).

pass := html.EscapeString(strings.TrimSpace(r.Form.Get("password")))

Incluso hay quien, a la hora de comprobar un acceso acepta tambien la inversión de mayusculas para los intentos con el bloque de mayusculas como no corresponde en la contraseña y el usuario.
4 K 51
WarDog77 #36 WarDog77
#35 Lo de la inversión de mayúsculas es una buena idea, no resta apenas seguridad y reduce mucho el número de errores
2 K 30
#7 topecb
#2 Eso es lo peor, sitios que te obligan a empezar por una letra, que contenga números y no se pueden repetir, o peor, que te obliguen a usar símbolos ¡¡PERO NO VALE CUALQUIERA!! La mayoría de sitios solo te aceptan: .,-_#! y poco más, ni el ? aceptan.. que no entiendo el motivo, ya que si la contraseña se guarda en sha1 por ejemplo, que mas dará lo que contenga
3 K 35
leporcine #9 leporcine
#7 Eso digo yo, si al final se va a encriptar, la contraseña tiene que ser lo que quiera el usuario.
1 K 16
comadrejo #13 comadrejo *
#7 El motivo es para dificultar los ataque de fuerza bruta con diccionario.

Contra la fuerza bruta por diccionario y/o conbinaciones incrementales lo mas rentable son contraseñas realmente largas en vez de obligarte a utilizar caracteres "raros".

Como ejemplo para la contraseña maestra del keepassxc utilizo 48 caracteres realmente sencillos de recordar para mi pero muy costosos para la fuerza bruta. Otro tema es la dureza/seguridad del procedimiento para generar/validar el "hash".
5 K 55
#16 topecb
#13 Obligándote a usar una letra como primer caracter hace que baje la seguridad, hablo de cualquier tipo de contraseña, ya sea para una passkey o una contraseña en cualquier web, porque ya saben que la contraseña del usuario empieza por una letra...
0 K 9
comadrejo #17 comadrejo *
#16 Me refería a obligar a utilizar algúnos simbolos "raros".

El resto de casos que me comentas no ayudan demasiado, desde mi punto de vista lo mas importante de una buena contraseña:
- Sin reglas estúpidas (no requiere mayúsculas, números, caracteres especiales, etc.)
- Una longitud maxima no menor de 32
- Rechazar contraseñas con niveles de entropia bajos, como por ejemplo "11111112222222"

camo.githubusercontent.com/f831b727621991d627605ec462d5bb992dae09536c1
4 K 35
#18 topecb
#17 Yo estoy de acuerdo en que obliguen a usar minúsculas, mayúsculas, números y símbolos

Pero ya que obligas a usar símbolos -todas mis contraseñas los tienen- no pongas restricciones, ya te digo que el ? no lo aceptan en muchísimos sitios y me toca reemplazarlo por un !

Y vuelvo a lo mismo: ninguna página debería obligarte a que tu contraseña empiece por una letra.
1 K 12
comadrejo #20 comadrejo
#18 Yo desde hace tiempo solo utilizo dos umbrales en las validaciones de contraseñas:
- Longitud menor de X (normalmente 128 bytes)
- Entropía mayor que X (normalmente mayor de 36bits)

Sin ningún tipo de obligación en los caracteres de entrada.
1 K 14
WarDog77 #29 WarDog77
#20 Muchos no permiten espacios (el DNIe por ejemplo)
0 K 9
#61 Stv.2
#18 Añado algo, alguna vez me ha pasado el tener problemas por la longitud de la contraseña. Por ejemplo, pongo una contraseña larga como una frase, pero luego cambian la interfaz web y no permite contraseñas largas, o que directamente desde el principio ya fuera incoherente, como que puedas poner la contraseña larga al crear la cuenta pero no al iniciar sesión, al intertar cambiarla, o que en una aplicación movil no la permita.

El tema de las contraseñas a veces es un caos. Y a veces pasa lo mismo con las direcciones de correo, más frecuentemente con las etiquetas de gmail (añadiendo "+"), lo tratan como quieren y a veces de forma incoherente.
0 K 6
#26 noises
#7 O bancos que te obligan a que la firma solo tenga 6 caracteres o algunos incluso a que solo sean números
2 K 28
WarDog77 #28 WarDog77
#26 Eso casi todos.
Algunos de vez en cuando te piden verificación por sms pero poco más.
Menos mal que la verificación de operaciones se hace por SMS o huella dactilar (que no se cual será más seguro la verdad).
0 K 9
#31 topecb
#26 Lo de los bancos es de traca, mi madre ha tenido como clave de BBVA hasta hace bien poco, 4 NÚMEROS desde que se creó las claves hará ¿10 años?
Y luego cualquier web que no tiene datos sensibles te obligue a modificar la contraseña cada 90 días (y no permite reutilizar ninguna)
2 K 18
#38 diablos_maiq
#31 El hecho de que no te permita reutilizar contraseñas indica que las guardan en claro.
0 K 9
#39 topecb
#38 No tiene porqué.. tu almacenas la contraseña en sha1, y después guardas un histórico de los hash de las contraseñas que ha ido teniendo, si al intentar cambiarla ya existe, pues no le dejas
3 K 34
#48 tyrrelco
#39 sha1 se sigue usando como estándar seguro???
0 K 10
tierra_del_hielo #49 tierra_del_hielo
#48 para contraseñas, no.
0 K 7
#56 tyrrelco
#49 me dejas más tranquilo
0 K 10
#60 noises
#38 No necesariamente. Pueden aplicar un hash unidireccional a las contraseñas y guardar ese resultado. Luego, al establecer una nueva, la comparan aplicando de nuevo el mismo hash para luego comprobar si existe en el historial de hashes (que no contraseñas).
1 K 19
#40 KaisserSozze *
#7 Dejaros de líos. Pillad un gestor de contraseñas de código abierto (yo uso KeepPass) y el fichero de contraseñas, que va encriptado, subido a la nube con acceso desde ordenador o móvil. Y así solo tienes que saberte una contraseña y no las compartes con nadie.
Lo mismo que dice #34
1 K 20
#47 tyrrelco
#7 Desde la completa ignorancia de estos temas, ¿No está el sha1 completamente sobrepasado? Creí entender que hay tablas para descifrar cualquier código de sha1. Disculpa mi elección de palabras, pero mi falta de conocimiento en el tema me hace explicarme mal.
0 K 10
bronco1890 #27 bronco1890
Yo utilizo una combinación de 64 letras, números y caracteres que tecleo sin mirar al teclado, es tan segura que una vez que la meto en un sitio ni siquiera yo soy capaz de volver a entrar.
2 K 30
angelitoMagno #34 angelitoMagno
Porque con un gestor de contraseñas que te genere passwords seguros, los sincronice entre dispositivos y los recuerde por ti, ¿para qué necesitas otro sistema?
2 K 30
#37 parladoiro
#34 piensa al revés ¿para que forzarías usar passkey de una multinacional a otra persona?
0 K 10
tierra_del_hielo #50 tierra_del_hielo
#34 realmente estas recreando una passkey a tu manera.
0 K 7
#58 parladoiro *
#50 una passkey es algo menos vinculado a una identidad personal que al acceso directo por cuenta de google, Meta, X o Microsoft, pero en caso de usar Google y Apple muy pocas diferencias hay, de hecho creo que compartir el acceso a páginas con la cuenta de Apple a otras personas y los Passkey es con el mismo sistema, dando permisos a otras cuentas de Apple(se supone que las contraseñas se pueden compartir igual pero la otra opción de compartir usuario y contraseña es simple papel y lápiz, el…   » ver todo el comentario
0 K 10
#46 ralph
"molestia" las contraseñas? y una mierda!!!

molestia es todo lo demás. A mí déjenme con las putas contraseñas!
2 K 24
Cidwel #22 Cidwel *
#14 no. No es broma. Esto se hace, a veces sobretodo cuando hay sospechas de autómatas. Es una variante de "shadowban". Aparte como dices, cuando se detectan ciertos intentos de la misma IP, randomizan si accedes o no con una contraseña acertada. Ellos sabrán por qué llegaron a esta conclusión.
1 K 20
Cidwel #3 Cidwel *
son un puto coñazo, pa que te voy a engañar. Voy siempre con el miedo de perder horas en caso de que alguno de los dispositivos que uso de key reviente. Además el enroll es un coñazo tremendo. Luego te vas a otro pc o dispositivo porque quieres loguear y siempre es fiesta.

La idea seria usar el movil para autenticarte como dispositivo de activación, parecido a como usamos los codigos de autenticador. pero siempre hay problemas con la implementación. Nunca suele ser fina del todo. Y siempre está ese miedo de "y si me roban el movil?"

Demasiado complicado para masificarlo. Demasiadas posibilidades y opciones para que sea facil de explicar. Los únicos passkey que tengo son los que me obliga la empresa tener
2 K 16
WarDog77 #8 WarDog77
#3 Yo tengo el móvil de uso y uno viejo de reserva en casa con todas las cuentas y claves sincronizadas. Si pierdo el de uso le hago una restauración online y a tirar del de reserva.
6 K 64
#44 Drazul
#3 totalmente, Yo he dejado de poder acceder a una de mis cuentas de gmail en mi portátil con Ubuntu por alguna mierda de configuración que no me he parado a revisar. Puedo acceder al resto de cuentas así que debe ser algo de la configuración del passkey
0 K 10
coderspirit #45 coderspirit
#3 Se pueden usar llaves físicas tipo yubikey para almacenar passkeys, eso simplifica mucho el tema (pero cuesta pasta, claro).
0 K 9
Cidwel #57 Cidwel *
#45 claro a eso me refiero. Hay demasiadas opciones como para pretender que la gente se acostumbre. Necesitamos decadas de normalizacion y la obligacion de los sistemas a no usar otra cosa que no sea passkeys. Por eso no va a triunfar. La gente pasará a su sistema de contraseñas tradicional porque es lo que funciona y lo que te permite disponer de mas tiempo libre. Y nunca vamos a cambiar a menos que ocurra un desastre. En un futuro quizas normalicemos llevar passkeys en wearables o el movil. Pero estamos MUY lejos de eso.
0 K 10
Pablosky #30 Pablosky
#12 Ejem... no sé si recuerdas que hace ¿2? años a Sony le robaron las contraseñas de los usuarios xD
0 K 13
#1 Stv.2
Esto es algo que había olvidado por completo, hace ya bastante tiempo que alguna plataforma me ha "invitado" a pasarme a las passkey porque era mejor y más rápido, pero nunca llegaron a explicar por qué ni como, y la poca explicación que daban parecía más engorroso o directamente igual. En todo caso, lo tengo muy olvidado y ya ni me acuerdo en qué consistía, esa es solo mi "impresión" que me ha quedado como usuario.

A veces termino un poco harto de ciertas plataformas y sus verificaciones de seguridad, más de una vez me he quedado "fuera" por algún motivo, generalmente en vacaciones/viajes. A veces simplemente quiero acceder a un sitio con la contraseña que tengo, y que me baste con eso.
1 K 13
leporcine #2 leporcine
#1 Y ya si te condicionan el formato de la contraseña apaga y vámonos, lo mismo te rompe el sistema por el cual las recuerdas y si el sitio no es de mucho interés pues ya no vuelves a entrar.
2 K 13
#5 Eukherio
#1 Lo de la seguridad hoy en día es un cachondeo. Yo uso gestor de contraseñas y la verdad es que no tengo quejas porque no es para nada engorroso y, a priori, es seguro. El otro día intenté entrar en un sitio en el que llevaba tiempo sin entrar y me dijeron que la contraseña no se correspondía, me extrañó porque la estaba poniendo directamente el gestor de contraseñas, le di a cambiar contraseña para volver a poner la de antes y me salió el mítico mensaje de: no puedes volver a usar la misma.…   » ver todo el comentario
5 K 40
Cidwel #6 Cidwel *
#5 eso que te pasa es muy comun. Si te sirve, uno de los requerimientos de nuestra app era que cuando te baneaba la ip temporalmente hasta decidir si la conexión era buena o no al detectar algo raro, mostrabamos el mensaje de "contraseña erronea". Y si tu contraseña era muy vieja, tambien. Sin mostar nada mas que ese error: "Contraseña errónea"

Los de sistemas dijeron "Mira, nos interesa que la gente cambie su contraseña de vez en cuando. Si se vuelven esquizofrénicos, que se vayan al psiquiatra, pero no vamos a dar tampoco detalles de cómo funcionamos internamente"
13 K 98
#11 Eukherio
#6 A ver, puedo entenderlo con contraseñas simples a la antigua, pero es que yo desde que estoy con el gestor tengo cuatro o cinco principales en plan frase de las que me acuerdo y el resto son todas estilo: Waym^mA^5ATMihU5dTAYcsPG5@dA$8. No sé qué ganan obligándome a poner Zk4$d^bMw7vLK!&!UiS4HKGCBsd8PS cada X meses.

Yo creo que casi todo lo que se ha hecho en seguridad en los últimos años parece más dirigido a incomodar al usuario que a blindar el servicio. Me registré el mes pasado en…   » ver todo el comentario
5 K 38
Cidwel #12 Cidwel
#11 no podiamos saber la integridad de la contraseña (y ESPERO que NADIE en ningun backend pueda), así que, para nosotros nos da igual si pones esa contraseña, que pato, te la mandamos cambiar
0 K 10
#15 Eukherio
#12 Hombre, hay un montón de servicios que no te dejan meter una contraseña que no consideran segura. Yo creo que a partir de ahí ya se puede intentar no incomodar al usuario. Que al final son 2-3 minutos cambiar de contraseña, pero siempre es un engorro cuando intuyes que te putean por protocolo y no porque la cagases. Yo hay webs en las que entro de Pascuas a Ramos y cada vez me da más pereza porque sé que me harán una de esas.
0 K 7
#14 Stv.2
#6 Algo que creo que leí por aquí... en plan broma, espero...

Rechazar al azar el primer intento de inicio de sesión, o simplemente si pasaba algo que consideraras raro, y con eso te quitabas supuestamente la mayoría de ataques por fuerza bruta. xD Y el maldito usuario que se vuelva loco si hace falta.
2 K 19
cosmonauta #19 cosmonauta
#6 Los de sistemas no hablaron con los de producto. Madre mía, que manera de perder dinero
0 K 12
Cidwel #21 Cidwel
#19 los de sistemas ODIAN a los de producto. La casa la limpian ellos, así que ellos deciden si poner moqueta
0 K 10
#41 parladoiro *
#1 es como un certificado digital, o en nube o en dispositivo. Las plataformas lo quieren en vez de por seguridad por usar identificación como acceso. Las contraseñas de servicios se pueden compartir, el passkey donde todo se accede con lo mismo no, el acceso a la cuenta de streaming o de juegos permitiría el acceso al correo electrónico o al banco.
Como mucho compartes una contraseña OTP a un servicio individual y perfectamente hacen trazable el acceso con OTP o solo con recursos limitados para evitar que más de una persona use un servicio individual.
1 K 16
coderspirit #42 coderspirit *
Uso passkeys en todas partes y me van de coña, han resultado en una mejora significativa de usabilidad y fluidez a la hora de tratar con credenciales... Eso sí: uso llaves criptográficas físicas (que son caras), no uso los gestores de passkeys de los sistemas operativos.
1 K 12
Torrezzno #4 Torrezzno
Yo pensé en pillarme una yubikey pero es que al final te tienes que hacer con un par y daba bastante pereza
1 K 12
WarDog77 #10 WarDog77
#4 Me gusta más el A2F de Microsoft Authenticator.
A diario uso el entorno Google, salvo para el gestor de contraseñas que uso Microsoft vinculado a una cuenta Outlook.es que solo tengo para eso (por lo de tener las claves sincronizadas)
0 K 9
coderspirit #43 coderspirit
#4 Hay alternativas más baratas que Yubikey, aunque en ese caso lo que da pereza es tener que hacer docenas de comparativas para ver si vamos a tener todo lo que necesitamos o no.

Por mi parte, a mi lo que dio palo es la comparativa, tengo un par de yubikeys y me alegro de haberlas comprado.
0 K 9
#52 IanGibson
Grandes avances sobre seguridad que encuentras el siglo XXI: gente que vende su iris por 20 euros en criptomonedas en un centro comercial.
0 K 9
#51 Tecar *
Lo mismo que el pajaporte.
Es una solución técnica impecable, pero se estrella con la dificultad del despliegue entre diferentes webs países etc, y las reticencias conspiparanoicas de la mayoría.
0 K 7
mrwylli #53 mrwylli
Yo probé en una de las cuentas de gmail y lo que me encontré es que se me bloquéo la cuenta en el resto de dispositivos, haciéndome perder el tiempo, por lo que para mí están muertas.
0 K 6
comentarios cerrados

menéame