Desde el dia 3 mayo del 2024 ya puedes activar las passkey en tu cuenta de outlook. Microsoft llega un poco tarde, ya que Google lleva ya tiempo y empresas como PayPal también lo tienen, así que si quieres darle un poco más de seguridad a tu cuenta piensa en activarlo.
No logro ver la ventaja de las passkeys para el usuario medio de esta página. Son como contraseñas… sólo que no las puedes exportar. Parece que el único objetivo es el "vendor lock-in".
Principalmente la resistencia al phising (que cualquier gestor de contraseñas en condiciones ya hace, e igualmente siempre hay que estar al loro) y poder autenticarte con biometría. Por ejemplo, si tienes un portátil con lector de huella o reconocimiento facial, puedes usar eso. Si las guardas en el móvil, por ejemplo con Android, tienes que usar tu huella o cara en este para autorizar el login.
Totalmente de acuerdo en lo que dices del lock-in, desde luego ahí se quedaron cortos.
Yo siendo sinceró , para lo único que uso passkey es en whatsaap y por comodidad más que nada , tengo un keepass y una app de 2factor
Yo era usuario de Keepass, pero me cambié a Bitwarden (y recientemente a 1Password) por la comodidad de tener todo sincronizado en la nube, y tener en un mismo sitio contraseñas y MFA (en vez de tener que sincronizarlas por separado).
Otra ventaja de las passkeys (y toda la autenticación asimétrica, dicho sea de paso) es que si se filtran los datos del servidor, sigue sin poderse acceder. Si yo tengo una passkey en Microsoft (por poner un ejemplo), y esa base de datos se filtra, atacantes seguirán sin poder entrar a mi cuenta, ya que solo yo con mi clave privada puedo "completar" el desafío que me permite autenticarme. Eso, y que si por algún motivo mi contraseña no estaba correctamente almacenada (en hash y con salt aleatoria), y soy un usuario medio que las reutiliza, no pueden intentar atacar mis otras cuentas en otros servicios .
Edit: Por tanto, no va tanto para usuarios "avanzados" que sabemos lo que hacemos, y usamos gestores de contraseñas, sino para el usuario medio que escribe las notas en un papel o en el notepad.exe, o las reutiliza en todas partes. Y para las webs hechas por el becario de turno, que no tuvo a bien usar bcrypt o similares para guardar las contraseñas como es debido.
Donde va ya! No se la fuente de la noticia, pero passkeys en Microsoft se llevan pudiendo usar desde hace 2 años mínimo.
Eso no es lo que dicen ellos. microsoft.com/en-us/security/blog/2024/0…mer-accounts
¿Será que tú tenías una cuenta de organizaciones? Trabajo, universidad…
La notica no la saque del blog de Microsoft , pero luego de verla la contraste con el blog Microsoft
Según mi 1Password, tengo una passkey registrada desde noviembre de 2023 (cuando empecé a usarlo) con una cuenta personal. Sé que antes de este anuncio se podían añadir llaves físicas (YubiKey y compañía) y Windows Hello, así que imagino que es lo que hacían algunos gestores de contraseñas para permitir passkeys. Imagino que ahora el soporte va más allá, con el tema de poder almacenar las passkeys en Android y autenticarte escaneando un código que muestra el navegador y usando biometría en el móvil.
Personalmente, me parece más engorroso eso que guardarlas en mi gestor de contraseña, igual que hago con los TOTP.
Ambas. Y desde 2023 inicio sesión directamente con passkey (yubikey). Igual era webauthn lo que usaban.
Las corporativas (AD/Entra) directamente te permiten iniciar sesión con passkey en Windows como aliciente.
Passkey será el nuevo paradigma de la seguridad passwordless, pero yo no le veo el avance frente al inicio de sesión mediante usuario + password + 2FA, al menos en mi operativa del día a día.
Será más cómodo, no tendrás que recordar contraseñas y la teoría que he leído sobre el papel, suena fenomenal. Lo estoy usando principalmente en GitHub y un par de servicios más apoyándome en la gestión de passkeys que permite Bitwarden, pero insisto, no le veo el motivo al hype.
Yo también lo uso con Bitwarden en el PC, en el móvil no lo voy a usar hasta que Bitwarden también sea compatible, no me apetece nada almacenarlas en Google o Samsung.
Me parece más seguro el sistema user+passwd+2FA, pero tiene la ventaja de que es todo automático y mucha gente lo usará sin saber siquiera que lo está haciendo, solo con el si si si si en la app del móvil.
Y lo de que te las guarde Google… pues me gusta muchísimo menos.
