CEO de Reddit: Face ID y Touch ID están impulsando la adopción de Passkeys

La transición de Passkey sin dolor

La industria tecnológica ha estado intentando eliminar la contraseña durante aproximadamente una década. El caso contra las contraseñas es abrumador: se reutilizan en sitios, se roban en brechas, se usan en ataques de phishing a través de sitios web engañosos, se rompen por fuerza bruta y se olvidan por las personas que las establecieron. A pesar del claro consenso técnico de que los Passkey ofrecen una seguridad dramáticamente superior, la transición ha sido lenta, principalmente porque el cambio en los hábitos de autenticación de los consumidores es notoriamente difícil de lograr.

El CEO de Reddit, Steve Huffman, ha identificado un factor que puede estar cambiando esta dinámica: Face ID y Touch ID de Apple. En observaciones que han llamado la atención de la comunidad de seguridad, Huffman argumentó que la autenticación biométrica en dispositivos Apple tiene un beneficio secundario subestimado más allá de su función de seguridad principal. Al hacer que la autenticación de Passkey se sienta sin esfuerzo y familiar —ya desbloqueas tu teléfono de esta manera docenas de veces al día— los sistemas biométricos de Apple están efectivamente reduciendo la barrera psicológica para la adopción de Passkey de una manera que la educación en seguridad nunca ha logrado.

Cómo funcionan los Passkey

Los Passkey se construyen sobre el estándar WebAuthn, que utiliza criptografía de clave pública para autenticar usuarios sin transmitir un secreto como una contraseña al sitio web o servicio. El dispositivo del usuario contiene una clave privada que nunca se deja; el sitio web contiene una clave pública correspondiente. La autenticación implica que el dispositivo firme un desafío del sitio web, que el sitio web verifica usando su clave pública. Un atacante que compromise la base de datos del sitio web solo obtiene la clave pública, inútil para la autenticación.

La mejora de seguridad sobre las contraseñas es significativa. Debido a que las credenciales nunca salen del dispositivo del usuario, los ataques de phishing son fundamentalmente inefectivos contra los Passkey. La clave privada está vinculada al sitio web específico para el cual fue creada, por lo que incluso si un usuario es engañado para visitar un sitio falso, la autenticación de Passkey falla porque la credencial no coincide.

La perspectiva conductual

La observación de Huffman es que la autenticación biométrica en dispositivos Apple ha hecho algo que los investigadores de seguridad no pudieron: ha hecho que una operación criptográfica compleja se sienta como nada. Los usuarios que se autentican con Face ID o Touch ID están realizando la misma criptografía de clave pública que subyace a los Passkey, pero la experimentan como el mismo gesto que usan para desbloquear su teléfono, una interacción sin fricción que ya han internalizado como parte de su uso del dispositivo.

La implicación es que la barrera para la adopción de Passkey no es principalmente técnica o conductual en el sentido tradicional. Los usuarios no son resistentes porque no entiendan los beneficios de seguridad. Son resistentes porque los nuevos métodos de autenticación requieren aprender nuevos comportamientos, y los nuevos comportamientos implican fricción. Al conectar la autenticación de Passkey a gestos biométricos que los usuarios ya han aprendido e internalizado, Apple redujo esa fricción a casi cero para una porción significativa de la población de usuarios de teléfonos inteligentes.

Implicaciones más amplias para la seguridad digital

Reddit ha sido una de las plataformas más activas impulsando la adopción de Passkey a su base de usuarios, impulsada en parte por el interés personal de Huffman en la tecnología y en parte por el historial de la plataforma con incidentes de seguridad basados en credenciales. La experiencia de la empresa sugiere que las tasas de adopción de Passkey entre usuarios que se autentican a través de dispositivos Apple son significativamente más altas que entre aquellos que usan otros métodos, datos que apoyan la cuenta teórica de Huffman sobre por qué la biometría acelera la transición.

Si Face ID y Touch ID están genuinamente catalizando la adopción de Passkey, las implicaciones se extienden más allá de cualquier plataforma única. Los dispositivos Apple representan una parte sustancial de usuarios de teléfonos inteligentes premium en mercados clave, y esos usuarios tienden a ser primeros adoptantes que influyen en las tendencias tecnológicas más amplias. Una tecnología en un camino creíble para reemplazar contraseñas, una de las debilidades de seguridad más persistentes en la infraestructura digital, representa un cambio significativo en el panorama de seguridad, y puede estar llegando más rápido de lo que la mayoría de los profesionales de seguridad esperaban gracias al mecanismo de distribución invisible de Apple.

Este artículo se basa en reportajes de 9to5Mac. Lea el artículo original.