Claves de acceso

A passkey es una credencial FIDO2: un par de claves criptográficas creadas y almacenadas por el sistema operativo de su dispositivo, que se utiliza para autenticarlo en un sitio web o aplicación sin escribir una contraseña. El navegador demuestra la posesión de la clave privada firmando un desafío desde el sitio; el sitio verifica con la clave pública registrada. Sin contraseñas, sin códigos, sin fricción más allá de una huella digital o un mensaje de Face ID.

Qué claves de acceso reemplazan

El flujo de inicio de sesión tradicional tiene tres problemas en capas:

• Las contraseñas se pueden adivinar. Los más comunes son palabras de diccionario y patrones simples. Los ataques de relleno de credenciales reciclan bases de datos de contraseñas filtradas en cada sitio.
• Las contraseñas son reutilizables. Los usuarios las reutilizan en todos los servicios, por lo que una infracción compromete muchas cuentas.
• 2FA está incorporado. Los códigos SMS se pueden interceptar, TOTP se puede realizar phishing en tiempo real, solo se almacenan las claves de hardware verdaderamente a prueba de phishing, y las claves de hardware generan demasiada fricción para los usuarios ocasionales.

Las claves de acceso colapsan la experiencia de contraseña + 2FA en una única verificación biométrica o de PIN en un dispositivo que ya está autenticado.

Cómo funciona realmente una clave de acceso

El protocolo subyacente es WebAuthn (estándar W3C) en el lado del navegador y CTAP2 (Protocolo de cliente a autenticador) cuando se trata de un dispositivo separado, como una clave de hardware. Juntos implementan el marco FIDO2.

Cuando registra una clave de acceso en ejemplo.com:

1. El sitio le pide a su navegador que cree una credencial.
2. El sistema operativo genera un par de claves ECC (normalmente en Secure Enclave/TPM/TitanM2).
3. El sistema operativo asocia la clave pública con ejemplo.com y una ID de credencial.
4. El navegador envía la clave pública al sitio, que la almacena en el registro de su cuenta.
5. La clave privada nunca sale del almacenamiento seguro de su dispositivo.

La próxima vez que inicie sesión:

1. El sitio envía un ID de credencial. desafío.
2. El navegador le pide al sistema operativo que firme el desafío con su clave privada de example.com.
3. El sistema operativo le solicita autorización: Touch ID, Face ID, Windows Hello o un PIN.
4. El desafío firmado regresa al sitio, que lo verifica con la clave pública que almacenó.
5. Ya ha iniciado sesión. en.

Por qué las claves de acceso son a prueba de phishing

El navegador vincula la firma al dominio real (origen) que el usuario está visitando. Si estás en el verdadero example.com, la firma es for example.com. Si lo engañan para ingresar a evil-example.com, el navegador genera una firma para evil-example.com, que el verdadero example.com no aceptará. El atacante no puede interceptar ni reproducir la credencial: no hay ningún secreto que se pueda reproducir, como una contraseña o un código TOTP, para capturar. clave de acceso:

• Claves de acceso sincronizadas. Almacenado en el llavero del sistema operativo (iCloud Keychain, Google Password Manager, 1Password, Bitwarden) y sincronizado en todos sus dispositivos. Puede iniciar sesión desde su computadora portátil usando una clave de acceso creada en su teléfono. Las más fáciles de usar para el consumidor.
• Claves de acceso vinculadas al dispositivo. Permanezca en un dispositivo, normalmente una llave de hardware. Mayores garantías de seguridad (no se pueden exfiltrar incluso si su cuenta de iCloud está comprometida) a costa de necesitar el dispositivo físico cada vez. Los casos de uso empresarial y de alta seguridad prefieren estos.

Inicio de sesión entre dispositivos

Puede iniciar sesión en un dispositivo que no tiene su clave de acceso utilizando una clave de acceso en un dispositivo cercano. El flujo estándar: la computadora portátil muestra un código QR, lo escanea con su teléfono, su teléfono se autentica con la clave de acceso y envía la afirmación a la computadora portátil a través de la verificación de proximidad de Bluetooth. Rápido, no requiere que el teléfono esté conectado al mismo Wi-Fi, evita ataques de larga distancia porque Bluetooth demuestra proximidad física.

Adopción en 2026

La implementación de la clave de acceso ha avanzado más rápido que los estándares de seguridad típicos:

• Apple, Google y Microsoft han incluido compatibilidad con claves de acceso en sus llaveros de sistema operativo desde 2022-2023
• 1Password, Bitwarden, Dashlane agregaron sincronización de claves de acceso entre sistemas operativos en 2023
• Los principales sitios con compatibilidad con claves de acceso incluyen Google, Apple, Microsoft, Meta, Amazon, GitHub, eBay, PayPal, Best Buy, Robinhood, cientos más
• Muchos sitios todavía utilizan de forma predeterminada la contraseña+2FA, pero ofrecen una clave de acceso como opción

La fricción ahora es principalmente la adopción del sitio y la familiaridad del usuario. La tecnología está resuelta.

Donde las claves de acceso se quedan cortas

Algunas limitaciones honestas:

• La recuperación de la cuenta es más difícil. Si pierde todos sus dispositivos y accede a su proveedor de sincronización, puede perder sus claves de acceso. Los sitios que admiten claves de acceso aún necesitan un flujo de recuperación de cuenta, que a menudo recurre al correo electrónico o SMS, lo que significa que el piso de seguridad sigue siendo el proveedor de correo electrónico o teléfono.
• Lbloqueo por ecosistema. El llavero iCloud de Apple sincroniza bien las claves de acceso entre dispositivos Apple; la sincronización entre proveedores requiere un administrador de contraseñas de terceros.
• La protección contra phishing no es protección contra la apropiación de cuentas. Una clave de acceso no puede ser objeto de phishing, pero las cookies de sesión después de iniciar sesión aún pueden ser robadas por malware.

Para la mayoría de las cuentas, las claves de acceso son estrictamente mejores que las contraseñas. La migración se realiza en un sitio importante a la vez.