Acceso sin contraseña con las PassKeys de Google!

Las Passkeys son una alternativa más segura y fácil a las contraseñas. Con las Passkeys, los usuarios pueden acceder a apps y sitios web con un sensor biométrico (como una huella dactilar o un reconocimiento facial), un PIN o un patrón, lo que les evita tener que recordar y administrar contraseñas.

Una Passkey puede cumplir con los requisitos de autenticación de varios factores en un solo paso y reemplazar tanto una contraseña como una OTP (p.ej., un código SMS de 6 dígitos) para brindar una protección sólida contra los ataques de suplantación de identidad (phishing) y evitar el dolor de UX de los SMS o las contraseñas de un solo uso. Dado que las Passkeys están estandarizadas, una sola implementación permite una experiencia sin contraseña en todos los dispositivos de los usuarios, en diferentes navegadores y sistemas operativos.

Las Passkeys son más fáciles de usar:

  • Los usuarios pueden seleccionar una cuenta para acceder. No es necesario escribir el nombre de usuario.
  • Los usuarios pueden autenticarse con el bloqueo de pantalla del dispositivo, como un sensor de huellas dactilares, un reconocimiento facial o un PIN.
  • Una vez que se crea y se registra una Passkey, el usuario puede cambiar sin problemas a un dispositivo nuevo y usarlo de inmediato sin necesidad de volver a inscribirse (a diferencia de la autenticación biométrica tradicional, que requiere configuración en cada dispositivo).

Las Passkeys son más seguras:

  • Los desarrolladores solo guardan una clave pública en el servidor en lugar de una contraseña, lo que significa que hay mucho menos valor para una persona que actúa de mala fe y hackear servidores, y mucho menos para realizar limpiezas en caso de un incumplimiento.
  • Las Passkeys protegen a los usuarios de los ataques de suplantación de identidad (phishing). Las Passkeys solo funcionan en los sitios web y las apps registrados. No se puede engañar al usuario para que se autentique en un sitio engañoso porque el navegador o el SO se encargan de la verificación.
  • Las Passkeys reducen los costos de envío de SMS, lo que los convierte en un medio más seguro y rentable para la autenticación de dos factores.

¿Qué son las Passkeys?

Una Passkey es una credencial digital vinculada a una cuenta de usuario y a un sitio web o una aplicación. Las Passkeys permiten que los usuarios se autentiquen sin tener que ingresar un nombre de usuario o una contraseña, ni proporcionar ningún factor de autenticación adicional. Esta tecnología busca reemplazar mecanismos de autenticación heredados, como contraseñas.

Cuando un usuario desea acceder a un servicio que usa Passkey, su navegador o sistema operativo lo ayudará a seleccionar y usar la Passkey correcta. La experiencia es similar a la forma en que funcionan las contraseñas guardadas en la actualidad. Para garantizar que solo el propietario legítimo pueda usar una Passkey, el sistema le pedirá que desbloquee su dispositivo. Esto se puede realizar con un sensor biométrico (como una huella dactilar o un reconocimiento facial), un PIN o un patrón.

A fin de crear una Passkey para un sitio web o una aplicación, el usuario primero debe registrarse en ese sitio web o aplicación:

  1. Ve a la aplicación y accede con el método de acceso existente.
  2. Haz clic en el botón Crear Passkey.
  3. Verifica la información almacenada con la nueva Passkey.
  4. Usa el desbloqueo de la pantalla del dispositivo para crear la Passkey.

Cuando regresa a este sitio web o app, puede seguir estos pasos:

  1. Ve a la aplicación.
  2. Presiona el campo de nombre de la cuenta para ver una lista de Passkey en un diálogo de autocompletado.
  3. Selecciona su Passkey.
  4. Usa el desbloqueo de la pantalla del dispositivo para completar el acceso.

El dispositivo del usuario genera una firma a partir de la Passkey. Esta firma se usa para verificar la credencial de acceso entre el origen y la Passkey.

Un usuario puede acceder a los servicios en cualquier dispositivo mediante una Passkey, independientemente de dónde esté almacenada. Por ejemplo, se puede usar una Passkey creada en un teléfono celular para acceder a un sitio web en una laptop independiente.

¿Cómo funcionan las Passkeys?

Las Passkeys están diseñadas para usarse a través de la infraestructura del sistema operativo que permite a los administradores de Passkey crear, crear copias de seguridad y hacer que las Passkeys estén disponibles para las aplicaciones que se ejecutan en ese sistema operativo. En Android, las Passkeys se pueden almacenar en el Administrador de contraseñas de Google, que sincroniza las Passkeys entre los dispositivos Android del usuario que accedieron a la misma Cuenta de Google. Las Passkeys se encriptan de forma segura en el dispositivo antes de sincronizarse y requieren su desencriptación en dispositivos nuevos. Los usuarios con Android OS 14 o versiones posteriores pueden optar por almacenar sus Passkey en un administrador de contraseñas de terceros compatible.

Los usuarios no están restringidos a usar las Passkeys solo en el dispositivo en el que están disponibles; las Passkeys disponibles en teléfonos se pueden usar cuando se accede a una laptop, incluso si la Passkey no está sincronizada con la laptop, siempre y cuando el teléfono esté cerca de la laptop y el usuario apruebe el acceso en el teléfono. Como las Passkeys se compilan en estándares FIDO, todos los navegadores pueden adoptarlas.

Por ejemplo, un usuario visita example.com en el navegador Chrome en su máquina con Windows. Este usuario accedió anteriormente a example.com en su dispositivo Android y generó una Passkey. En la máquina Windows, el usuario elige acceder con una Passkey desde otro dispositivo. Se conectarán los dos dispositivos y se le pedirá al usuario que apruebe el uso de su Passkey en el dispositivo Android, por ejemplo, con un sensor de huellas dactilares. Después de hacerlo, accede a la máquina con Windows. Ten en cuenta que la Passkey en sí no se transfiere a la máquina con Windows, por lo que, por lo general, example.com ofrecerá crear una Passkey nueva allí. De esta manera, no se requerirá el teléfono la próxima vez que el usuario acceda.

Nota: Consulta la compatibilidad de la Passkey en Android y Chrome para conocer el comportamiento de Android y Chrome en cada sistema operativo.

Fuente: Google

Dejar un comentario

Crea una web o blog en WordPress.com

Subir ↑