Uso de PassKeys con KeepassXC

2024-12-07

#contraseñas #passwords #keepassxc #passkeys #seguridad

Las Passkeys son una forma de autenticación sin contraseñas, la autenticación se realiza a través de un par de claves pública-privada. El usuario tiene el par de claves y el servicio sólo la pública. En el proceso de autenticación el usuario recibe un desafío (cadena de caracteres aleatorios) del servicio, lo firma y se lo devuelve al servicio, que autentica al usuario verificando la firma con la clave pública del usuario. Como la Passkey incluye además la descripción del dominio del servicio y el usuario, mediante este método se imposibilitan los ataques de phishing y smishing, el navegador no va a usar una Passkey para otro dominio diferente al que especifica la propia Passkey. La generación de la Passkey se realiza localmente en el PC del usuario accediendo a las opciones de seguridad del servicio para el que quiere generarla, en el pc del usuario se quedan el par de claves público-privada y al servicio únicamente se envía la clave pública.

Desde que salieron las Passkeys me he mostrado reacio a su uso, sinceramente no acababa de comprenderlas y pensaba que era cosa sólo de las GAFAM, pero descubrí gracias a este video que KeePassXC tiene soporte para Passkeys así que las he estado probando unas semanas y considero que es un buen método de autenticación:

=> KeePassXC Passkeys Without Big Tech!, Switched to Linux

Veamos cómo gestionar PassKeys desde KeepassXC:

• Para usar las PassKeys desde KeepassXC deberemos instalar y configurar su extensión en el navegador
• Desde KeepassXC accede a "Configuración", apartado "Integración con navegadores", actívala.
• En "Habilitar integración con estos navegadores" selecciona el que quieras, en mi caso Firefox
• Para que no nos equivoquemos de extensión o nos cuelen una extensión falsa pulsa con el botón de la derecha del ratón sobre el nombre el navegador que sale en verde y dale a "copia la dirección del enlace"
• Accede a tu navegador web, pega esa dirección e instala la extensión, acepta para que funcione también en pestañas privadas.
• Accede a la configuración de la extensión que acabas de instalar y vete abajo, en el apartado "Claves de Acceso" marca la opción "Habilitar Passkeys"
• Sin salir de KeepassXC y manteniendo la base de datos de contraseñas abierta entra en el navegador pulsa sobre el icono de la extensión de KeepassXC, arriba a la derecha, y dale a "Conectar". Te saldrá una ventana en KeepassXC "Perición de nueva asociación de clave".
• Dale un nombre a esa conexión entre la extensión y KeepassXC, por ejemplo portatil-firefox
• Ahora crea una Passkey, accede por ejemplo a una cuenta de google y busca la opción en el apartado de seguridad, para crearla debes vigilar que el programa KeepassXC esté activo con la base de datos en la que estén las Passkeys en primer plano, te recomiendo usar una base de datos para tus contraseñas y otra base de datos independiente sólo para las Passkeys. En el navegador debes vigilar que la extensión de KeepassXC esté activa y conectada a la base de datos.
• Al crear la Passkey en el servicio que quieras, desde KeepassXC saldrá una ventana emergente "Seleccionar base de datos", selecciona la base de datos en la que quieres guardar las Passkeys y pulsa sobre "registrar".
• Cierra sesión del servicio en el que has creado la Passkey y accede seleccionando la opción de autenticación por Passkey o clave de acceso, en KeepassXC te saldrá una ventana "Autenticar credenciales de Passkey de acceso para :", dale a "Autenticar" y ya está, abrás accedido al servicio con tu Passkey

Echando un vistazo el contenido de las Passkeys

Desde KeepassXC, en el menú de base de datos, Passkeys, puedes ver un listado de tus Passkeys, importarlas y exportarlar, por ejemplo la Passkey de un email de gmail tiene este aspecto

{
    "credentialId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
    "privateKey": "-----BEGIN PRIVATE KEY-----XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX-----END PRIVATE KEY-----\n",
    "relyingParty": "google.com",
    "url": "https://myaccount.google.com",
    "userHandle": "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
    "username": "tuemail@gmail.com"
}

Ventajas de la autenticación por Passkeys

• No es posible un ataque de phishing puesto que como ves dentro de la propia Passkey están el dominio del servicio y el usuario, sólo puede usarse en ese dominio. Es ideal para evitar que personas poco entrenadas en ciberseguridad puedan acceder a una web falsa pero tampoco creo que ese tipo de usuario se vaya a poner a configurar Passkeys a menos que los servicios les obliguen y lo pongan extremadamente fácil. Por ahora son muy pocos los servicios que posibilitan usar Passkeys.
• Las Passkeys pueden verse como una forma de autenticación similar a la que usamos para autenticarnos por SSH para acceder a un VPS pero con una generación de claves automatizada en local desde la web de cada servicio, asegurándose así de que la Passkey tiene un nivel de complejidad tan elevado como quiera configurarlo el propio servicio.
• Pensaba que esto sólo funcionaba para un único dispositivo y tenías que andar creando una Passkey en cada aparato, pero no, funciona en todos y no hay problema en sincronizar tu base de datos de Passkeys, por ejemplo con Syncthing.

Desventajas de la autenticación por Passkeys

• Como has podido comprobar al menos a través de KeepassXC se hace un poco complicado todo el proceso de configuración, esto no es para cualquier usuario.
• No acabo de ver que las Passkeys vayan a acabar con las contraseñas, si no usas un gestor como KeepassXC para cambiar de dispositivo sí o sí vas a necesitar autenticarte a través de tu contraseña, pin, biometría, 2fa... para que el servicio genere otra Passkey para el nuevo dispositivo. Si usas KeepassXC y sincronizas la base de datos evitas tener que andar creando nuevas Passkeys para cada dispositivo.

=> This work by SL1200 is marked with CC0 1.0

=> ◄ BACK | 🏠 Home