Keyy: una descripción detallada y revisión

WordPress está en todas partes. Nos estamos acercando a ser un tercio completo de Internet, y eso es increíble. Pero con esa ubicuidad vienen una serie de problemas, uno de los principales es la seguridad. WordPress se ve muy afectado por piratas informáticos, spambots y todo tipo de descontentos. Recientemente, los ataques de fuerza bruta en las nuevas instalaciones de WordPress han aumentado exponencialmente y, a medida que crece el CMS, los intentos de secuestrarlo también crecerán. Entra, Keyy.

Keyy es una aplicación/complemento de autenticación de dos factores (2FA) que hace todo lo posible para eliminar los aspectos molestos de otros métodos 2FA: nombres de usuario, contraseñas y tokens de autenticación. Keyy se jacta de que puede eliminar todo eso mediante el uso de cifrado de clave pública RSA, desde su teléfono .

¿Realmente puede iniciar sesión desde su teléfono? ¿Cómo?

Eso es lo que estás pensando, ¿verdad? Como es esto posible? Bueno, funciona de manera muy similar a cómo conectas tu cuenta de Netflix o Hulu a tu Roku o PS4. Usando encriptación de clave pública (del mismo tipo con el que sus sitios web están protegidos a través de SSL), el complemento y la aplicación que descarga se comunican directamente entre sí, no usan nombres de usuario y contraseñas, sino hashes de autenticación que aparecen como «Keyy Wave» o Código QR.

Cómo funciona, en la práctica

Configurar Keyy es bastante simple. Dirígete a la tienda de aplicaciones de tu elección (soy un tipo de Android, así que de eso se tratan estas fotos) y descarga la aplicación Keyy. Es gratis, así que no te preocupes. Sin embargo, hay una actualización premium que mencionaré más adelante.

Una vez hecho esto, abra la aplicación y será recibido por el proceso de registro más simple que he visto. Solo un campo de correo electrónico. Quiero decir, después de todo, ¿por qué una aplicación que quiere eliminar los nombres de usuario y las contraseñas quiere que te registres con un nombre de usuario y una contraseña?

Cuando se envía, recibe el práctico correo electrónico de verificación que le pide que haga clic en un enlace para demostrar que es usted. Eso es estándar. Después de eso, crea un número pin de 4 dígitos. Esa será una forma de iniciar sesión en la aplicación (la otra será su huella digital u otros datos biométricos, según su teléfono).

Cuando valida su correo electrónico y configura su pin, puede iniciar sesión en el sitio web de Keyy y se le presenta su Keyy Wave. Simplemente escanee la pantalla con la aplicación para obtener acceso a su cuenta Keyy.

La aplicación en sí

La primera vez que abres la aplicación, está vacía. Pero le pide que agregue su primer sitio. Sin embargo, para hacer eso, debe tener instalado el complemento Keyy WordPress en su sitio. Esa parte no está muy bien documentada ni tiene ningún mensaje en la aplicación. Solo sabía que tenías que hacerlo. Hay un elemento de menú «Cómo usar Keyy», pero lo lleva a las preguntas frecuentes externas que, nuevamente, no son muy fáciles de navegar.

Sin embargo, solo son un par de clics y no se debe realizar ninguna configuración más que activar el complemento. Obtiene un nuevo elemento de menú llamado  Keyy Login  que tiene el código QR que necesita para vincular la aplicación a su sitio de WordPress.

En el momento en que mueves esa aplicación frente a la pantalla, y vislumbra ese código, tu página se actualiza. Tu contraseña ya no existe y, en cambio, estás listo para iniciar sesión con… ¡ el futuro!

Pero… ¿Funciona?

Por supuesto, lo primero que hice fue cerrar sesión en mi cuenta para ver cómo se ve mi pantalla de inicio de sesión ahora. No me decepcionó.

Y como tenía LastPass manteniendo mis campos de nombre de usuario/contraseña listos, pensé que presionaría el botón azul grande y vería exactamente qué haría Keyy si se hiciera un intento de inicio de sesión con credenciales válidas sin él.

Bien. Me bloqueó. Así que abrí la aplicación Keyy, y autenticó mi huella digital de inmediato, y pude ver el sitio que acababa de registrar con un  botón Escanear para iniciar sesión inmediatamente presente.

Y cuando lo presioné, apenas obtuve el Keyy Wave dentro de los corchetes antes de que me llevaran a mi tablero de WP (lo mismo sucedió con el código QR). Fue bastante elegante, y salió muy bien.

Planes de Contingencia

La aplicación funciona, y es genial. Pero las aplicaciones fallan. O perdemos nuestros teléfonos. Nuestras sobrinas y sobrinos eliminan aplicaciones por accidente. Lo que sea. Entonces, digamos que sucedió lo peor y ahora tenemos que volver a nuestras instalaciones de WP. Nunca temas. Siempre que haya hecho una copia de seguridad de su clave privada, está bien. El cifrado RSA es un arma de doble filo en este caso. Debido a cómo funcionan las claves de cifrado, está increíblemente seguro de que cualquier persona no autorizada tenga acceso. Siempre que tenga la clave privada que desbloquea su sitio (que se encuentra en su aplicación).

Cifrado: claves públicas y privadas

Solo hay una combinación de caracteres que puede desbloquear el sitio. Cuando vinculó su sitio, se crearon dos cadenas de caracteres, una clave pública y una clave privada. Probablemente se vean así, ¿¡que es la versión encriptada de 256 bits de la contraseña  ElegantThemesDivi1337!?

EnCt23d17eb3962c35a3b9b681fd2ee764b5f5f49df5b3d17eb3962c35a3b9b6

81fd2bRvzmeU/KwNQuaot+1oDcZxlp3/K+i/1Ns+yplDFw6u/Lc2AnA==IwEmS

Un poco más difícil de romper, ¿verdad? Ahora, la cadena de clave pública como esta es lo que contienen su Keyy Wave y su código QR. Está abierto al público. Es básicamente una pieza de rompecabezas que espera a su pareja. Cualquiera puede ver este. es publico Básicamente está destinado a ser compartido. Es por eso que puede tenerlo de forma segura en la página de inicio de sesión de su sitio.

Porque solo hay  una forma de entrar. La otra cadena de caracteres: su clave privada. Eso está en tu aplicación. Cuando escaneas el código o agitas, las dos cadenas se emparejan y, si tienes la clave privada correcta, estás dentro. Felicidades. Sin él… buena suerte descifrando el código.

Por lo tanto, debe asegurarse de  no perder nunca la clave privada. Afortunadamente, Keyy te dice que hagas una copia de seguridad la primera vez que inicias sesión en la aplicación después de conectarte a un sitio.

Dado que mi teléfono ejecuta Android, hice clic en el botón y la clave privada se guardó en la tarjeta SD de mi teléfono como un archivo .json. Después, simplemente lo subí a Google Drive. También recibí una notificación cuando se descargó. En iOS (supongo) tienes la opción de iCloud, OneDrive o Google Drive, etc.

Ahora puedo restaurar la aplicación en cualquier momento con ese archivo. Si estuviera usando Keyy para mi inicio de sesión principal en todos mis sitios, probablemente almacenaría la clave privada no solo en la unidad de mi teléfono, sino también en una unidad USB y Dropbox.

Planes Premium

En el plan gratuito de Keyy, obtienes suficiente para usuarios normales y pequeñas empresas. Obtienes 5 instalaciones y usuarios. Obtendrá algunos anuncios aquí y allá. Pero si elige comprar uno de los planes premium, obtiene algunas características adicionales.

Y si bien es muy útil tener todos ellos y probablemente valga la pena actualizarlos con toda honestidad, si así va a ser la forma en que protegerá sus sitios, los dos más importantes son el modo sigiloso y las opciones de inicio de sesión de  múltiples  factores .

Con respecto al modo sigiloso, es posible que no desee que su clave pública sea demasiado pública. Si bien aún es perfectamente seguro hacerlo, hay muchos malos en la web e intentarán piratear su sistema. Si tienes una cuenta Keyy premium, puedes asegurarte de que solo tú y los tuyos tengáis acceso al código QR o Keyy Wave.

Y para las opciones de inicio de sesión, también puede solicitar la contraseña  además de la aplicación Keyy. Ese tipo de cosas. Simplemente obtienes más control sobre lo que puedes hacer con tu sitio, lo cual no veo como algo malo.

Además, obtiene más sitios y usuarios para esos sitios que pueden usar Keyy, según su nivel de actualización. Eso puede o no aplicarse a usted. Pero si diriges un gran equipo, es una consideración segura.

Pensamientos finales

No estaba muy seguro de qué esperar cuando me puse a mirar a Keyy. Cuando vi la animación en su página de inicio  que mostraba un teléfono saludando junto a un monitor e iniciando sesión, estaba escéptico. Odio mantener NFC activado, mi PC principal ni siquiera es compatible con NFC, y estaba pensando para mí mismo… ¿cómo funciona esto con NFC de todos modos? (No lo hace. NFC no tuvo nada que ver con eso, pero esa era la única forma en que podía ver una ola funcionando).

Pero estaba equivocado. Todo lo que realmente se necesita es una ola frente a su monitor para iniciar sesión. Keyy tiene el reconocimiento de código más rápido de cualquier aplicación que haya usado. Desearía que otras aplicaciones licenciaran lo que sea que hayan hecho porque hace que el escaneo de código sea francamente agradable de usar en lugar de «eh, funciona lo suficientemente bien».

Si ejecutara un sitio que necesitara 2FA, definitivamente buscaría a Keyy. Puede que no sea la solución para todos, pero ya hay suficiente aquí para mostrar que la base que establecieron en la versión 1 (y sí, esta sigue siendo la versión 1) es lo suficientemente sólida como para construir un producto aún más sólido en el futuro.

Además, usar una aplicación es mejor que hacer clic en cuadrículas interminables de autos, escaparates y letreros de calles.

¿Qué método de autenticación de dos factores utiliza para sus sitios?

Imagen destacada del artículo por Titima Ongkantong / shutterstock.com