Passkey (Autentificación con clave de acceso)

¿Qué es una clave de acceso?

Una clave de acceso es un mecanismo de autentificación que utiliza un factor de posesión en lugar de un factor de conocimiento como credencial de autenticación principal.

Las claves de acceso se basan en FIDO2 (Fast Identity Online 2), un sistema de autentificación que utiliza claves criptográficas en lugar de contraseñas seguras. Las claves son creadas por un dispositivo compatible con FIDO2 (como un teléfono inteligente, una tableta o un ordenador de sobremesa) y son únicas para cada sitio web o aplicación habilitados para passkeys.

Algunas claves están protegidas por la autentificación de dos factores (2FA) y requieren un PIN o un factor de autentificación biométrica para los inicios de sesión posteriores. En estos casos, es posible que el usuario final ni siquiera se dé cuenta de que su dispositivo está utilizando una contraseña como primer factor de autenticación.

Los principales proveedores de tecnología, como Apple, Microsoft y Google, están promoviendo las claves de acceso como una forma sencilla y eficaz de evitar el phishing y otros tipos de robo de credenciales.

Si se adoptan de forma generalizada para la autenticación multifactor (MFA), se espera que las passkeys eliminen también la necesidad de gestores de contraseñas.

¿Cómo funcionan las claves de acceso?

Una contraseña utiliza criptografía de clave pública para crear una conexión segura y privada entre el dispositivo informático de un usuario final y un sitio web o aplicación compatible.

La criptografía de clave pública utiliza una clave pública para cifrar los datos y una clave privada para descifrarlos. La clave pública se comparte y la privada no.

Cuando un usuario final inicia sesión en un sitio web o una aplicación compatible con la autenticación de clave pública, su dispositivo genera un par único de claves pública y privada y envía la clave pública al servidor del sitio web o la aplicación. La clave privada permanece en el dispositivo del usuario.

La próxima vez que el usuario inicie sesión, el sitio web o la aplicación le enviará una objeción o reto. El reto es una cadena aleatoria de datos cifrados con la clave pública del usuario.

El dispositivo del usuario utiliza su clave privada para descifrar el reto y envía la cadena descifrada al sitio web o la aplicación. Si la clave descifrada coincide con la clave original enviada por el sitio web o la aplicación, el usuario inicia sesión automáticamente.

Step by step instructions for how Passkeys work.

En el backend, las claves de acceso FIDO2 utilizan el estándar de autenticación web (WebAuthn), un conjunto de interfaces de programación de aplicaciones (API) que admite la autenticación sin contraseña.

Ventajas de las claves de acceso

Las claves de acceso son más cómodas que las contraseñas porque los usuarios no tienen que crearlas, recordarlas ni actualizarlas.

También son más seguras que las contraseñas porque las claves privadas se almacenan localmente en una parte aislada del sistema operativo del dispositivo de origen a la que sólo puede acceder el procesador del dispositivo.

Si un sitio web compatible o un servidor de aplicaciones se ve comprometido, sólo quedarán expuestas las claves públicas de la contraseña.

Dado que un ordenador clásico no es capaz de utilizar una clave pública para aplicar ingeniería inversa a una clave privada en un plazo de tiempo razonable, la autenticación del usuario seguirá siendo segura aunque el servidor que almacena la clave pública sufra una filtración de datos importante.

Las claves de paso suelen promocionarse como la mejor forma de desalentar los ataques de spear phishing y whaling porque, a diferencia de las contraseñas, no pueden compartirse con terceros. Sin embargo, algunas implementaciones de claves de acceso ofrecen a los usuarios finales la opción de sincronizar las claves privadas en todos sus dispositivos.

Si alguien quiere iniciar sesión en un nuevo dispositivo por primera vez o utilizar temporalmente el dispositivo de otra persona para iniciar sesión en su cuenta de Google, por ejemplo, puede seleccionar la opción “utilizar una clave de acceso de otro dispositivo” y seguir las instrucciones para aprobar un inicio de sesión único o almacenar la clave privada localmente en el nuevo dispositivo.

Desventajas de las claves de acceso

Las claves de acceso son todavía una tecnología relativamente nueva, y no todos los sitios web y aplicaciones las soportan o implementan de la misma manera.

El mayor problema es que si un usuario pierde o le roban el dispositivo, cualquiera que pueda desbloquearlo puede utilizar las claves que no requieren un factor de autenticación adicional.

En tal caso, el usuario final tendría que saber qué claves revocar manualmente, o tendría que volver a registrarse y crear nuevas claves para todos los sitios web y aplicaciones compatibles que utilice.

Margaret Rouse

Margaret Rouse es una galardonada escritora técnica y profesora conocida por su habilidad para explicar temas técnicos complejos a una audiencia de negocios no técnica. Durante los últimos veinte años, sus explicaciones han aparecido en sitios web de TechTarget y ha sido citada como autoridad en artículos del New York Times, Time Magazine, USA Today, ZDNet, PC Magazine y Discovery Magazine. La idea de diversión de Margaret es ayudar a profesionales de TI y negocios a aprender a hablar los idiomas altamente especializados de cada uno. Si tienes una sugerencia para una nueva definición o cómo mejorar una explicación técnica,…