Me compré dos llaves FIDO/U2F y las uso como segundo factor de autenticación (2FA) donde se puede. En feddit.cl no se puede 🤪
Pero también las uso para hacer log-in en mi laptop y para correr sudo / doas: O sea, no escribo mi contraseña en mi laptop, sino que enchufo la llave y le toco el botoncito.
Inicialmente el asunto tiene ventajas y desventajas:
Desventajas:
- Hay que comprar dos: Si se pierde o se rompe una, tienes seguir haciendo log-in. O sea, hay que tener un back up. Y eso significar comprar al menos dos.
- No funcionan como 2FA en todas las páginas web. En feddit.cl no funciona, por ejemplo.
- Es otra wea que se puede romper o perder. Y siempre es una paja.
- En Linux y en NetBSD (donde las he probado) hay que configurar PAM para que sustituya la contraseña. Eso requiere que el usuario sea un watón informático. No es difícil, en todo caso.
- Si alguien te agarra una llave, tiene chipe libre a tu laptop. Similar a lo que pasa con las llaves de una moto. O sea, hay que cuidar las llaves como se cuidan las llaves de una casa o de un auto.
Ventajas:
- Previene el phishing: el browser te pide la llave enviando la URL como parámetro. Si el nombre de dominio es distinto, la llave no da la respuesta correcta. Así que una página web con un nombre parecido no te puede robar una sesión que está protegida con U2F.
- Si lo usas con un password manager puedes no recordar ninguna password en absoluto. O sólo recordar la master password. Si eres un wn cabeza de pollo, como yo, puedes tener solo una password en tu cabeza y puras otras passwords largas y aleatorias en lo demás, y tener top-seguridad en todo. Sin memorizar nada.
- No hay que tipear una passoword cuando desbloqueas la pantalla de la laptop, ni cuando ejecutas
sudo.
Los dos últimos puntos son los que me hicieron comprar esas llaves. Y, por lo menos a mí, me ha funcionado perfect.
Por comodidad, uso la misma password para desencriptar el SSD y para hacer log-in en la laptop, y uso otra distinta para el password manager.
Pero soy un wn paranóico y me da “cosita” tipear la password en lugares públicos y hacerlo repetidas veces. Más encima, suelo equivocarme y tengo que repetir. La solución barata es tener passwords iguales y fáciles de tipear, en desmedro de la seguridad. Lo mejor son las passwords largas y aleatorias, que son precisamente las difíciles de recordad y tipear. Por eso prefiero tener dos passwords en el medio del espectro: ni muy buenas ni muy malas. Además sólo tengo que hacerlo dos veces al día: para prender la laptop y para abrir el password manager, y luego de eso no tengo que tipear ninguna passwords más.
La llave es una wea que hay que robar físicamente, mientras que las passwords se puede robar “informáticamente”. Las personas o grupos con ambas habilidades es más reducido, lo que me tranquiliza. Y me resulta súper cómodo, sobre todo porque puedo bloquear y desbloquear la pantalla sin tipear contraseñas y sin tener que repetirlas porque las tipié mal. Esa wea me ahorrado horas de mi vida xD
Buena, hace unos años me surgió la curiosidad sobre esos keys pero nunca supe bien cómo funcionaban. Gracias por la info, suena bakan el concepto de una literal llave digital.