Fecha de publicación: 9 de septiembre de 2024
En junio de 2024, Google se asoció con la Alianza FIDO para organizar un hackathon de llaves de acceso en Tokio. El objetivo era brindarles a los participantes experiencia práctica en el desarrollo de llaves de acceso y la creación de prototipos de llaves de acceso para productos del mundo real, con el personal de Google y la Alianza FIDO a mano para brindar orientación.
En el hackathon, 9 equipos se sumergieron en las llaves de acceso, y los jueces seleccionaron los cuatro proyectos más innovadores y con mayor impacto.
Gran ganador: equipo de pkLock de SFC-RG de la Universidad de Keio (Universidad de Keio)
El equipo de SFC-RG pkLock de la Universidad de Keio fue el único equipo de esta competencia que asumió el desafío de combinar dispositivos de la IoT con llaves de acceso y hasta llevó una impresora 3D.
Su pkLock (pronunciado "pic-lock") tiene como objetivo resolver el problema habitual de la entrega engorrosa de llaves para Airbnb y otros alojamientos privados mediante la autenticación de llaves de acceso en varios dispositivos.
El dispositivo que crearon consta de un dispositivo de visualización de códigos QR instalado en el exterior de la puerta y un dispositivo de desbloqueo instalado en el interior. Además del dispositivo, hay una aplicación web que los usuarios usan para reservar y desbloquear. Para abrir la puerta, los huéspedes deben colocar la mano debajo del dispositivo de visualización de códigos QR frente a la puerta, leer el código QR que se muestra con su teléfono celular y realizar la autenticación de llave de acceso (autenticación entre dispositivos).
También prestaron especial atención a diseñar un dispositivo sofisticado que los anfitriones querrán instalar en sus alojamientos. Su enfoque integral, que también considera la posible adopción generalizada de estos dispositivos, resonó mucho con los jueces.
Durante su presentación, generó mucha emoción entre el público cuando, en realidad, abrió una puerta en miniatura que hizo durante el hackathon. Para esta demostración, el dispositivo mostró un código QR que contiene una URL con un token de un solo uso que dirige a los usuarios a una página de autenticación. En el futuro, planean implementar transportes híbridos en el dispositivo para permitir el desbloqueo directo. Ganaron la hackatón por sus esfuerzos pioneros en explorar las posibilidades de usar llaves de acceso en dispositivos de la IoT.
Premio FIDO 1: SKKN (Universidad de Waseda)
SKKN es un grupo de investigación de la Universidad de Waseda, especializado en estudios de privacidad. El equipo presentó un caso de uso muy avanzado de llaves de acceso, que las combina con tecnologías emergentes: credenciales verificables (VC) y prueba de conocimiento cero. Como las credenciales verificables y la prueba de conocimiento cero están en el centro de atención de la identidad soberana y la identidad descentralizada (SSI/DID), su presentación atrajo una gran atención de los jueces del hackathon y de otros participantes.
Las credenciales verificables (VC) son certificados digitales que demuestran información del usuario, como el nombre, la afiliación y la dirección. Si el titular (billetera) que almacena y administra las VC es vulnerable, otras personas pueden robarlas y, además, pueden suplantar la identidad del usuario presentando la VC. Además de permitir que solo el usuario que tiene la credencial de FIDO presente la VC, desarrollaron un método que permite que solo los servicios de billetera confiables manejen las VC.
Su implementación mostró varias ventajas:
- Cuando se vinculan y emiten VC y credenciales de FIDO, solo el propietario de FIDO puede usar las VC.
- Solo se pueden usar billeteras de confianza del emisor y el verificador.
- Con las llaves de acceso, se pueden crear copias de seguridad de las VC y las billeteras, y los usuarios pueden recuperarlas incluso si pierden su dispositivo.
Premio FIDO 2: TOKYU ID (Tokyu)
El equipo de URBAN HACKS, también conocido como el equipo de TOKYU ID, de Tokyu Corporation, recibió el premio FIDO por su innovadora adopción de llaves de acceso para TOKYU ID. El Grupo Tokyu es un gran conglomerado japonés con una amplia gama de empresas centradas en el transporte y el desarrollo urbano.
TOKYU ID está diseñado para optimizar las interacciones cotidianas, como los viajes en tren. Dado que reconoce la importancia fundamental de la experiencia del usuario, el equipo implementó el acceso con llave de acceso en febrero de 2024 para abordar posibles problemas, como perder un tren debido a demoras en la autenticación de dos factores en los servicios de venta de boletos digitales que proporciona una aplicación web.
Participó en este hackathon para validar su visión de TOKYU ID. En su situación ideal, todos los usuarios se registran y acceden con llaves de acceso, junto con una recuperación de la cuenta sin inconvenientes. Para lograrlo, se enfocaron en dos implementaciones clave en el hackathon: habilitar el registro de llaves de acceso durante el proceso inicial de registro de membresía y presentar el acceso mediante redes sociales para la recuperación de cuentas. De manera excepcional, después de la recuperación a través del acceso con redes sociales, a los usuarios solo se les permite registrar una llave de acceso, lo que destaca el compromiso del equipo con un diseño centrado en la llave de acceso. También integraron FedCM para mejorar la experiencia del usuario en los procesos de vinculación de cuentas.
El enfoque centrado en la llave de acceso del equipo de TOKYU ID demostró una comprensión profunda de las necesidades de los usuarios y los requisitos del producto. En el hackathon, implementaron con éxito su solución y dieron una presentación interesante, que les valió el Premio FIDO. En particular, integraron el Acceso con Google sin usar el SDK de GIS con solo JavaScript sin modificaciones con FedCM.
Premio de Google: Equipo de Nulab (Nulab)
Nulab es una empresa de software que proporciona servicios como Backlog, Cacoo y Nulab Pass. Tienen varias soluciones de autenticación de dos factores (llaves de seguridad, OTP por SMS, OTP por correo electrónico, TOTP) y WebAuthn en todos sus servicios. Nulab fue uno de los primeros usuarios en adoptar WebAuthn y admite por completo las llaves de acceso desde octubre de 2023.
Implementaron ocho funciones nuevas:
- Una tarjeta de llaves de acceso
- Contenido introductorio de la llave de acceso
- Recompensas para usuarios pioneros de llaves de acceso
- Asistencia para una recuperación de la cuenta sin problemas
- Botón para acceder con una llave de acceso
- 2FA obligatorio para los usuarios que adopten las llaves de acceso
- Eliminación de contraseñas y promoción de llaves de acceso en filtraciones de credenciales
- Cómo promocionar llaves de acceso cuando se restablece una contraseña
En el hackathon, demostraron la asistencia para una recuperación de cuentas sin problemas: la idea era sugerirle al usuario una acción adicional cuando agrega una llave de acceso. Si la llave de acceso agregada está vinculada al dispositivo, pídele al usuario que agregue otra llave de acceso desde otro administrador de contraseñas. Si la llave de acceso agregada está sincronizada, recomienda al usuario que quite la contraseña.
También implementaron recompensas para los usuarios que adopten las llaves de acceso con el ícono de la cuenta de usuario destacado. Cuando el usuario adopta una llave de acceso vinculada al dispositivo, el ícono comienza a girar. Cuando el usuario adopta una llave de acceso sincronizada, el ícono comienza a parpadear. Dado que se trata de una herramienta empresarial, esto motiva a los usuarios a destacarse dentro de la empresa adoptando llaves de acceso.
Los jueces quedaron impresionados con sus ideas creativas para mejorar la implementación de la llave de acceso y, en particular, cómo los usuarios pueden recuperar su cuenta.
Proyectos más interesantes
Todos los equipos del hackathon tenían ideas interesantes y aquí tienes un resumen de sus proyectos:
- Nikkei ID (Nikkei): Implementó llaves de acceso en OpenID Connect, lo que reduce la fricción del usuario.
- Dentsu Soken (Dentsu Soken): Combina las llaves de acceso con Acceder con Google para una integración fluida de los usuarios.
- SST-Tech (Secure Sky Technology): Se exploró la emulación de llaves de acceso para las evaluaciones de seguridad.
- Ajitei Nekomaru (Universidad de Keio): Introdujo la autenticación de llaves de acceso en un SGA de código abierto.
- MyLIXIL (LIXIL): Se implementó para implementar llaves de acceso como un método de autenticación para MyLIXIL.
Para obtener más detalles sobre cada proyecto, consulta el informe completo del hackathon de llaves de acceso de Tokio.
Conclusiones y el futuro
Durante el hackathon, los participantes compartieron comentarios y preguntas valiosos, destacando el entusiasmo por las llaves de acceso y las áreas de mejora. Estas son algunas de las conclusiones clave del hackathon:
- Cada vez hay más interés en combinar llaves de acceso con otras tecnologías, como credenciales verificables y pruebas de conocimiento cero.
- La experiencia del usuario sigue siendo una prioridad, y los equipos se enfocan en hacer que las llaves de acceso sean aún más fáciles de usar y adoptar.
- El hackathon destacó el potencial de las llaves de acceso para extenderse más allá de los accesos tradicionales y llegar a áreas como la IoT y la identidad digital.
El evento fue un éxito rotundo y generó nuevas ideas y colaboraciones. A medida que las llaves de acceso se adoptan cada vez más, eventos como este son clave para impulsar la innovación y abordar los desafíos.
Es un momento emocionante para las llaves de acceso, y el hackathon de Tokio es una prueba de que los desarrolladores están ansiosos por desafiar los límites de lo posible.