Las universidades no escapan a los riesgos implícitos en el uso de contraseñas para acceder a servicios y recursos en línea. Si bien se busca que los universitarios utilicen contraseñas fuertes y únicas, eso no siempre ocurre. No es raro que los usuarios empleen la misma contraseña —a veces con pequeñas variantes— para acceder a diferentes servicios; tampoco lo es que elijan contraseñas más bien débiles o fáciles de adivinar. Una manera de enfrentar esto es con la implementación de claves de acceso, también conocidas como passkeys.
Los passkeys son la última versión de la autenticación avanzada basada en la web (WebAuthn). Consisten en pares de claves criptográficas —una pública y otra privada— generadas por un dispositivo del usuario para cada aplicación o sitio web. Ambas se combinan para iniciar sesión sin necesidad de utilizar nombres de usuario ni contraseñas.
Las aplicaciones o sitios web almacenan la clave pública, que es única. Por su parte, clave privada se almacena solamente en el dispositivo del usuario. Puede tratarse de un token de hardware o un navegador web instalado en una computadora, tableta o smartphone. Para establecer la identidad suele recurrirse a la biometría, ya sea reconocimiento de facial o de huella digital. También se puede emplear un gestor de contraseñas, en cuyo caso se parte de una contraseña maestra segura en lugar de la autenticación biométrica.
Ventajas de las passkeys
Ahora bien, las passkeys son exclusivas de cada aplicación web y nunca se comparten entre aplicaciones. Dicha característica reduce los riesgos incluso de los ataques avanzados de phishing, pues sólo funcionan en el sitio para cual que se generaron.
Por otra parte, las passkeys se pueden sincronizar entre dispositivos. Eso facilita que un estudiante, por ejemplo, pueda acceder a los servicios de la universidad tanto en su computadora como en su celular, por ejemplo. Y sin sacrificar la ciberseguridad. Es decir, las claves de acceso tienen las ventajas de la infraestructura de clave pública cifrada con certificados digitales, sin el problema de administrar autoridades de certificación y políticas de certificados.
Empero, implementar las passkeys no es tan sencillo. Los estándares pueden ser difíciles de cumplir y la compatibilidad con la tecnología puede variar significativamente de un dispositivo a otro. Además, dado que los dispositivos se conectan automáticamente, puede ser complicado determinar si quienes los utilizan son los usuarios legítimos.
Sin embargo, con la inversión y los cuidados necesarios, las passkeys son más seguras que las contraseñas o la autenticación de múltiples factores (MFA). Por lo tanto, son particularmente apropiadas para aplicaciones de alto valor, como las empleadas en la educación universitaria.
