Las cuentas de Google admiten claves de acceso y ya no necesitan contraseña para iniciar sesión

El futuro sin contraseñas que dibujan las grandes tecnológicas ya está aquí para los usuarios de Google, que desde hoy pueden iniciar sesión en su cuenta con una clave de acceso. Si lo hacen, Google no pedirá la contraseña ni la verificación en dos pasos.

Las claves de acceso son una alternativa más segura y sencilla a las contraseñas que han impulsado Amazon, Apple, Microsoft, Meta y Google entre otras compañías de diferentes sectores. Todas están unidas bajo la FIDO Alliance, que tiene el objetivo de desarrollar y promover estándares de autenticación para reducir la dependencia de las contraseñas. Con estas claves, los usuarios pueden acceder a apps, cuentas y sitios web con un sensor biométrico (como una huella digital o reconocimiento facial), un PIN o un patrón, lo que evita tener que recordar y administrar contraseñas. Los datos biométricos no se comparten.

Cuando un usuario añade una clave de acceso a una cuenta de Google, la plataforma la solicitará siempre que se inicie sesión o cuando se detecte una actividad potencialmente sospechosa que requiera de una verificación adicional. Las claves de acceso para las cuentas de Google se pueden almacenar en un hardware compatible, incluyendo dispositivos Android (con Android 9 o superior), iPhones (con iOS 16 o superior) o cualquier dispositivo que haya adoptado los estándares abiertos (y gratuitos) de la FIDO Alliance.

Imagen

Usar claves de acceso no significa que se deba emplear el teléfono cada vez que se inicia sesión. En caso de tener varios dispositivos, el sistema permite crear una clave de acceso para cada uno. Además, algunas plataformas hacen una copia de seguridad de las claves de acceso y las sincronizan con otros dispositivos. En caso de iniciar sesión con un nuevo dispositivo o para usar el de otra persona de forma temporal, existe la opción de emplear una clave de acceso almacenada en el móvil. Esto no transfiere la clave de acceso al nuevo dispositivo.

Cuando se crea una clave de acceso en un dispositivo, cualquier persona con acceso a ese dispositivo y la capacidad de desbloquearlo puede iniciar sesión en la cuenta de Google. La compañía reconoce que esto “puede parecer un poco alarmante”, pero considera que a la mayoría de personas les resultará más fácil controlar el acceso a sus dispositivos que recordar una contraseña y estar siempre atento a los intentos de phishing. En caso de perder un dispositivo con una clave de acceso, se puede revocar la clave de forma inmediata en la configuración de la cuenta de Google.

Las claves de acceso usan criptografía de clave pública o asimétrica. Con este sistema, cuando un usuario crea una clave de acceso se genera una clave pública y una clave privada en el dispositivo. Google solo almacena en sus servidores la clave pública (que no sirve de nada a un atacante). Cuando se inicia sesión, Google pide al dispositivo que firme con la clave privada y si el dispositivo lo aprueba, lo que requiere desbloquearlo, se inicia sesión. De esta forma se obtiene tanto la identificación como la autorización sin necesidad de memorizar una contraseña.

Fuente: The Verge
Que follón, prefiero la contraseña.
Yo pienso que por una parte está bien pero por otra sigue siendo una brecha más añadida, pues si te clonan la tarjeta del teléfono te pueden entrar y la contraseña sigue estando vigente ¿No? ¿Ya no habría contraseña del todo? Y ojo que no pierdas el número de teléfono en un mal tramite con una compañía o algo, o el teléfono directamente, o que se rompa el dispositivo, véase lo que puede ocurrir con las aplicaciones de autentificador.

Luego está el tema de asociar cuentas a un teléfono, que no se pongan a banear teléfonos, por poner un ejemplo, es más control sobre la libertad.


Lo suyo sería poder comprar como un llavero ¿No? Como un dongle que guarde esas llaves y tenga autorización por si pasa algo, además de poder copiar los dongles, hacer copias de seguridad, y a eso sumarle lo de la verificación por teléfono o dispositivo, ya sea con huella, código, o lo que sea, de esa forma tendrías las contraseñas en casa seguras en caso de tener que reestablecer algo y solo usarías esos códigos aleatorios o métodos biométricos.

Y por ejemplo, si han atacado a una web y tienen las contraseñas pues estas se cambian automáticamente por la web, de hecho podría haber un sistema para que estas cambien cada cierto tiempo y así nunca sean las mismas, las maestras, conectando el dongle a un dispositivo con red estas se actualizan y puedes desactivar la cuenta de otros dispositivos, sería como tener las llaves de las cuentas en el bolsillo, y obviamente eso no saldría de casa ni sería requerido a no ser que haya habido un ataque a la compañía o algún tipo de intrusión.

Aunque bueno, podrían simular los dongles y esas historias, al final la seguridad al 100% no existe, pero se pueden poner límites a la hora de introducir contraseñas, yo por ejemplo tengo las contraseñas en papel y luego tengo una tarjeta sd con las keys cifradas en un archivo, y existen dongles que hacen eso, pero molaría que fuesen oficiales de microsoft o google.

Pues genial. Con llegar y poner la huella logeado y listo. A ver cuando llega a todas partes.
Saludos.
alagar7101 escribió:Pues genial. Con llegar y poner la huella logeado y listo. A ver cuando llega a todas partes.
Saludos.


Si genial....entregar tus huellas digitales a cualquier compañía privada...por una cuenta de mail.Todo muy equitativo y "legal". [facepalm]
SUGUSAPPLE escribió:
alagar7101 escribió:Pues genial. Con llegar y poner la huella logeado y listo. A ver cuando llega a todas partes.
Saludos.


Si genial....entregar tus huellas digitales a cualquier compañía privada...por una cuenta de mail.Todo muy equitativo y "legal". [facepalm]


Si lees el artículo (y tienes nociones básicas de cifrado) verás que no es así. La huella solo está en tu dispositivo, no "en la nube", en tu móvil se guarda la clave privada (clave, no contraseña) y en la nube la pública para simplemente comprobar que la privada es la correcta.
Zeyckler escribió:
SUGUSAPPLE escribió:
alagar7101 escribió:Pues genial. Con llegar y poner la huella logeado y listo. A ver cuando llega a todas partes.
Saludos.


Si genial....entregar tus huellas digitales a cualquier compañía privada...por una cuenta de mail.Todo muy equitativo y "legal". [facepalm]


Si lees el artículo (y tienes nociones básicas de cifrado) verás que no es así. La huella solo está en tu dispositivo, no "en la nube", en tu móvil se guarda la clave privada (clave, no contraseña) y en la nube la pública para simplemente comprobar que la privada es la correcta.

Correcto.

Me parece muy cómodo. Estoy harto de memorizar contraseñas. Cada 2 por 3 me toca actualizar alguna porque con el tiempo se me acaban olvidando. A ver si llega el día que esto se implanta del todo y nos olvidamos de los passwords.
Zeyckler escribió:
SUGUSAPPLE escribió:
alagar7101 escribió:Pues genial. Con llegar y poner la huella logeado y listo. A ver cuando llega a todas partes.
Saludos.


Si genial....entregar tus huellas digitales a cualquier compañía privada...por una cuenta de mail.Todo muy equitativo y "legal". [facepalm]


Si lees el artículo (y tienes nociones básicas de cifrado) verás que no es así. La huella solo está en tu dispositivo, no "en la nube", en tu móvil se guarda la clave privada (clave, no contraseña) y en la nube la pública para simplemente comprobar que la privada es la correcta.


Todo lo que tú Expones ok .....lo dicho a Google, y al resto cuanto menos le des mejor.
@Zeyckler

Clave, contraseña, private key... llamalo como quieras.

Todo lo q se cifra, se descifra, y si además lo tienes en un soporte siempre se podra clonar, perder, inutilizar. etc.


Lo de conseguir la contraseña, clave, etc. por fuerza bruta es cuestión de tiempo y capacidad de computo.

Por eso lo mas sencillo es pedir amablemente q el sujeto te la facilite.

PD: Las grandes estafas siempre empiezan con las victimas dandole las gracias al estafador. Y veo mucho agradecido a Google, Apple, Meta, etc. por aqui.
No entiendo cómo un pin de 4 digitos o un patrón es más seguro que una contraseña de cuenta.¿Alguien puede explicarmelo?

Es más sencillo entrar en windows con un pin, pero no me parece más seguro
katatsumuri escribió:Yo pienso que por una parte está bien pero por otra sigue siendo una brecha más añadida, pues si te clonan la tarjeta del teléfono te pueden entrar y la contraseña sigue estando vigente ¿No? ¿Ya no habría contraseña del todo? Y ojo que no pierdas el número de teléfono en un mal tramite con una compañía o algo, o el teléfono directamente, o que se rompa el dispositivo, véase lo que puede ocurrir con las aplicaciones de autentificador.


Quiero creer que junto a esto se añade una capa de seguridad adicional, ahora mismo las principales big tech ya emplean mecanismos para bloquear intentos de inicio de sesión sospechosos, ya sea que provienen de IPs desconocidas o desde ubicaciones que no son la nuestra. Si tienes Instagram y te vas al apartado de seguridad es probable que veas algunos intentos de inicio de sesión desde otros países. En IG es bastante común, en Outlook también (especialmente si sigues usando un correo hotmail).

En cuanto a esto, parece una evolución del Google Authenticator. Si es igual, debería ser posible crear un backup de tu clave privada, por si algún día pierdes el móvil o se te rompe. De todos modos, debería ser posible seguir usando las contraseñas de siempre, y los métodos de recuperación tradicionales.
Abrams escribió:
katatsumuri escribió:Yo pienso que por una parte está bien pero por otra sigue siendo una brecha más añadida, pues si te clonan la tarjeta del teléfono te pueden entrar y la contraseña sigue estando vigente ¿No? ¿Ya no habría contraseña del todo? Y ojo que no pierdas el número de teléfono en un mal tramite con una compañía o algo, o el teléfono directamente, o que se rompa el dispositivo, véase lo que puede ocurrir con las aplicaciones de autentificador.


Quiero creer que junto a esto se añade una capa de seguridad adicional, ahora mismo las principales big tech ya emplean mecanismos para bloquear intentos de inicio de sesión sospechosos, ya sea que provienen de IPs desconocidas o desde ubicaciones que no son la nuestra. Si tienes Instagram y te vas al apartado de seguridad es probable que veas algunos intentos de inicio de sesión desde otros países. En IG es bastante común, en Outlook también (especialmente si sigues usando un correo hotmail).

En cuanto a esto, parece una evolución del Google Authenticator. Si es igual, debería ser posible crear un backup de tu clave privada, por si algún día pierdes el móvil o se te rompe. De todos modos, debería ser posible seguir usando las contraseñas de siempre, y los métodos de recuperación tradicionales.

yo por ejemplo pensé en crear un backup en bluestacks, estuve a nada de abrir un hilo en el foro de si había algún lector de tarjetas sim en forma de hardware externo, pero el software supongo que tampoco sería compatible, la idea sería crear un clon virtual del sistema con el autentificador por si se rompe el teléfono o lo pierdes.

Hacer un clon del sistema android y guardarlo en un pendrive o disco en forma de iso, esto simplemente por si se rompe el teléfono, para no tener que ir andando peleando con la empresa de la contraseña para demostrar que eres el propietario de la cuenta.



@Jormavio el pin está en el dispositivo, por lo que el que tiene que descifrarlo es un cualquiera, no alguien con conocimientos informáticos que ataca desde fuera, aunque siempre puede esperarse a algún tipo de vulnerabilidad o ataque, o algún hardware/software que pueda penetrar a ese dispositivo, pero para entonces el dispositivo ya no suele ser útil y el propietario ya lo ha cambiado por otro.

Las claves que se te entregan suelen ser aleatorias, cuando amazon te envía una llave de log no suele ser la misma que la anterior, luego ya si quieres puedes decirle que se fie del dispositivo y que se logueé de forma automática.
almuela escribió:@Zeyckler

Clave, contraseña, private key... llamalo como quieras.

Todo lo q se cifra, se descifra, y si además lo tienes en un soporte siempre se podra clonar, perder, inutilizar. etc.


Lo de conseguir la contraseña, clave, etc. por fuerza bruta es cuestión de tiempo y capacidad de computo.

Por eso lo mas sencillo es pedir amablemente q el sujeto te la facilite.

PD: Las grandes estafas siempre empiezan con las victimas dandole las gracias al estafador. Y veo mucho agradecido a Google, Apple, Meta, etc. por aqui.

No, no todo lo que se cifra, se descifra. De hecho lo que esta bien hecho, no se puede descifrar ni en siglos (al menos con la tecnologia actual).

Los programas, para comprobar tu contraseña no descifran nada. Lo que hacen es guardar tu contraseña cifrada con una clave que tiene la empresa. Luego tu para iniciar sesion metes tu contraseña, el programa cifra lo que has introducido y si es igual a lo que tiene guardado, te abre las puertas.

Es decir:
Registro:
Introduces contraseña => se cifra => se guarda

Login:
Introduces contraseña=> se cifra => se compara

Los registros biométricos se guardan solo en el dispositivo y offline es el que hace la “magia”.
katatsumuri escribió:
Abrams escribió:
katatsumuri escribió:Yo pienso que por una parte está bien pero por otra sigue siendo una brecha más añadida, pues si te clonan la tarjeta del teléfono te pueden entrar y la contraseña sigue estando vigente ¿No? ¿Ya no habría contraseña del todo? Y ojo que no pierdas el número de teléfono en un mal tramite con una compañía o algo, o el teléfono directamente, o que se rompa el dispositivo, véase lo que puede ocurrir con las aplicaciones de autentificador.


Quiero creer que junto a esto se añade una capa de seguridad adicional, ahora mismo las principales big tech ya emplean mecanismos para bloquear intentos de inicio de sesión sospechosos, ya sea que provienen de IPs desconocidas o desde ubicaciones que no son la nuestra. Si tienes Instagram y te vas al apartado de seguridad es probable que veas algunos intentos de inicio de sesión desde otros países. En IG es bastante común, en Outlook también (especialmente si sigues usando un correo hotmail).

En cuanto a esto, parece una evolución del Google Authenticator. Si es igual, debería ser posible crear un backup de tu clave privada, por si algún día pierdes el móvil o se te rompe. De todos modos, debería ser posible seguir usando las contraseñas de siempre, y los métodos de recuperación tradicionales.

yo por ejemplo pensé en crear un backup en bluestacks, estuve a nada de abrir un hilo en el foro de si había algún lector de tarjetas sim en forma de hardware externo, pero el software supongo que tampoco sería compatible, la idea sería crear un clon virtual del sistema con el autentificador por si se rompe el teléfono o lo pierdes.

Hacer un clon del sistema android y guardarlo en un pendrive o disco en forma de iso, esto simplemente por si se rompe el teléfono, para no tener que ir andando peleando con la empresa de la contraseña para demostrar que eres el propietario de la cuenta.



@Jormavio el pin está en el dispositivo, por lo que el que tiene que descifrarlo es un cualquiera, no alguien con conocimientos informáticos que ataca desde fuera, aunque siempre puede esperarse a algún tipo de vulnerabilidad o ataque, o algún hardware/software que pueda penetrar a ese dispositivo, pero para entonces el dispositivo ya no suele ser útil y el propietario ya lo ha cambiado por otro.

Las claves que se te entregan suelen ser aleatorias, cuando amazon te envía una llave de log no suele ser la misma que la anterior, luego ya si quieres puedes decirle que se fie del dispositivo y que se logueé de forma automática.


Gracias por la respuesta.

Entiendo que el sistema de protección pasa de ser una gran clave online común a tu cuenta a una combinación dispositivo (físico)+una pequeña clave o patrón. ¿y la parte de dispositivo físico no se puede leer/crear con algún programa o web?

Este sistema entorpece que se metan de forma remota dado que tu acceso cambia en cada dispositivo, pero ¿qué pasa si no tienes acceso al dispositivo? ¿pierdes la cuenta?
¿cómo protege esto del trabajador de al lado que se queda con tu código pin/patrón y luego se mete en tu terminal?
Zeyckler escribió:
SUGUSAPPLE escribió:
alagar7101 escribió:Pues genial. Con llegar y poner la huella logeado y listo. A ver cuando llega a todas partes.
Saludos.


Si genial....entregar tus huellas digitales a cualquier compañía privada...por una cuenta de mail.Todo muy equitativo y "legal". [facepalm]


Si lees el artículo (y tienes nociones básicas de cifrado) verás que no es así. La huella solo está en tu dispositivo, no "en la nube", en tu móvil se guarda la clave privada (clave, no contraseña) y en la nube la pública para simplemente comprobar que la privada es la correcta.

Ya claro, me fio yo de eso cuando basta con hablar sobre un tema cerca del teléfono para que a continuación te salgan anuncios sobre ese tema,
No sé que drama con usar los password de siempre.
Llevo usando lnternet desde 98 y tengo mil cuentas con mil password distintos.
Tan difícil es recordar.
Luego un txt con todo por si acaso se olvida y en un pen exclusivo y andando.

Cada día la gente más perezosa....

Y lo de más seguro... eso está por ver

Si algo se aprendido en la vida que no puedes fiarte de NINGUNA empresa tecnológica.
Si tienen brechas de seguridad con robo de datos y no salta a lo público y lo pueden ocultar lo hacen aún a riesgo de sus usuarios..
Con lo fácil y sobre todo seguro que es usar un gestor de contraseñas como Keepass
Se pretende tener cada vez mas seguridad ... y pensaba que con el doble factor todo esto se había acabado, pero esta visto que no ...
Trentito escribió:Que follón, prefiero la contraseña.


Esto es mucho más seguro y comodo.

SUGUSAPPLE escribió:Todo lo que tú Expones ok .....lo dicho a Google, y al resto cuanto menos le des mejor.


Bueno, con esto no le das nada extra a google, la clave que se genera es creada por y para esto.

eolpxw escribió:Con lo fácil y sobre todo seguro que es usar un gestor de contraseñas como Keepass


Esto es más seguro.

mp3xplosion escribió:...


Esto es más seguro que las passwords de siempre, aqui ya no hay opcion de que un usuario ponga una contraseña de 8 caracteres de mierda, aqui las claves seran (sin haberlo mirado eh) posiblemente rsa2096 o superiores, lo cual es mucho más seguro.

osodato escribió:Ya claro, me fio yo de eso cuando basta con hablar sobre un tema cerca del teléfono para que a continuación te salgan anuncios sobre ese tema,


Espero que no seas de los que piensan que la tierra es plana. Esto es mucho más seguro, no es conspiracion.


Jormavio escribió:...


Es como funciona la cryptografia asimetrica:

Tenemos 2 partes, clave publica y clave privada. Como su nombre indica, una es publica y por tanto la puedes compartir (se la puedes dar a google, a tu vecino, al enemigo) y la otra es privada (no se la puedes compartir ni a tu pareja).

Con la clave publica pueden cifrarte un mensaje que solo puedes descifrar si tienes la clave privada. Por ello, Google, que tiene tu clave publica, te genera un "challenge" o prueba que solo podras desbloquear si tienes la clave privada.

Tu, que tienes la clave publica de google, puedes mandarle mensajes a google, cifrados y garantizar que solo google puede descifrarlos.

Esa clave privada además es muchisimo más grande que cualquier contraseña de a pie.

Con la clave privada además puedes firmar un mensaje y cualquiera puede comprobar (con tu clave publica), que eres tu el que ha mandado el mensaje.

Video con explicacion rapida:
https://www.youtube.com/watch?v=apn1BN6XMVo


Llevo un tiempo esperando esto, mañana sin falta miro como puedo activarlo!
SUGUSAPPLE escribió:
alagar7101 escribió:Pues genial. Con llegar y poner la huella logeado y listo. A ver cuando llega a todas partes.
Saludos.


Si genial....entregar tus huellas digitales a cualquier compañía privada...por una cuenta de mail.Todo muy equitativo y "legal". [facepalm]

totalmente de acuerdo
Todo muy guay y muy seguro, pero se me jodió la SIM, no recordaba la contraseña de la operadora para pedir un reemplazo, y cuando quise mirarla en las contraseñas guardadas de google me pedía recibir un SMS para confirmar. [borracho]


Cuando casi cualquier servicio online está basado en tu correo electrónico y tu SIM, más vale que estos dos sistemas no estén enlazados o estás jodido.
iTek escribió:
Jormavio escribió:...


Es como funciona la cryptografia asimetrica:

Tenemos 2 partes, clave publica y clave privada. Como su nombre indica, una es publica y por tanto la puedes compartir (se la puedes dar a google, a tu vecino, al enemigo) y la otra es privada (no se la puedes compartir ni a tu pareja).

Con la clave publica pueden cifrarte un mensaje que solo puedes descifrar si tienes la clave privada. Por ello, Google, que tiene tu clave publica, te genera un "challenge" o prueba que solo podras desbloquear si tienes la clave privada.

Tu, que tienes la clave publica de google, puedes mandarle mensajes a google, cifrados y garantizar que solo google puede descifrarlos.

Esa clave privada además es muchisimo más grande que cualquier contraseña de a pie.

Con la clave privada además puedes firmar un mensaje y cualquiera puede comprobar (con tu clave publica), que eres tu el que ha mandado el mensaje.

Video con explicacion rapida:
https://www.youtube.com/watch?v=apn1BN6XMVo


Llevo un tiempo esperando esto, mañana sin falta miro como puedo activarlo!


Gracias por el enlace. Muy instructivo.

¿Entonces la clave privada no es el Pin o el patrón? .
¿El pin o el patrón es el acceso a tu clave privada en ese dispositivo?
Jormavio escribió:
iTek escribió:
Jormavio escribió:...


Es como funciona la cryptografia asimetrica:

Tenemos 2 partes, clave publica y clave privada. Como su nombre indica, una es publica y por tanto la puedes compartir (se la puedes dar a google, a tu vecino, al enemigo) y la otra es privada (no se la puedes compartir ni a tu pareja).

Con la clave publica pueden cifrarte un mensaje que solo puedes descifrar si tienes la clave privada. Por ello, Google, que tiene tu clave publica, te genera un "challenge" o prueba que solo podras desbloquear si tienes la clave privada.

Tu, que tienes la clave publica de google, puedes mandarle mensajes a google, cifrados y garantizar que solo google puede descifrarlos.

Esa clave privada además es muchisimo más grande que cualquier contraseña de a pie.

Con la clave privada además puedes firmar un mensaje y cualquiera puede comprobar (con tu clave publica), que eres tu el que ha mandado el mensaje.

Video con explicacion rapida:
https://www.youtube.com/watch?v=apn1BN6XMVo


Llevo un tiempo esperando esto, mañana sin falta miro como puedo activarlo!


Gracias por el enlace. Muy instructivo.

¿Entonces la clave privada no es el Pin o el patrón? .
¿El pin o el patrón es el acceso a tu clave privada en ese dispositivo?


El pin o el patron serán el desbloqueo para poder usar la clave privada, pero no la clave privada en si misma.
iTek escribió:
El pin o el patron serán el desbloqueo para poder usar la clave privada, pero no la clave privada en si misma.


gracias por la info.
Lo que viene a ser un acceso con certificado. Es útil y fácil para el usuario y más complicado de jakear. Todo ventajas
No me entero, ¿un pin no es una contraseña?
25 respuestas