Se usó la API de Cloud Translation para traducir esta página.

Acceso sin contraseña con claves de acceso

Llaves de acceso

Introducción

Las llaves de acceso son una alternativa más segura y fácil a las contraseñas. Con las llaves de acceso, los usuarios pueden acceder a apps y sitios web con un sensor biométrico (como una huella dactilar o un reconocimiento facial), un PIN o un patrón, lo que les evita tener que recordar y administrar contraseñas.

Tanto los desarrolladores como los usuarios odian las contraseñas: brindan una mala experiencia del usuario, generan inconvenientes en las conversiones y generan responsabilidad de seguridad para los usuarios y los desarrolladores. El Administrador de contraseñas de Google en Android y Chrome reduce la fricción mediante el autocompletado. Para los desarrolladores que buscan mejoras adicionales en las conversiones y la seguridad, las claves de acceso y la federación de identidades son los enfoques modernos de la industria.

Una clave de acceso puede cumplir con los requisitos de autenticación de varios factores en un solo paso y reemplazar tanto una contraseña como una OTP (p.ej., un código SMS de 6 dígitos) para brindar una protección sólida contra los ataques de suplantación de identidad (phishing) y evitar el dolor de UX de los SMS o las contraseñas de un solo uso. Dado que las claves de acceso están estandarizadas, una sola implementación permite una experiencia sin contraseña en todos los dispositivos de los usuarios, en diferentes navegadores y sistemas operativos.

Las llaves de acceso son más fáciles de usar:

Los usuarios pueden seleccionar una cuenta para acceder. No es necesario escribir el nombre de usuario.
Los usuarios pueden autenticarse con el bloqueo de pantalla del dispositivo, como un sensor de huellas dactilares, un reconocimiento facial o un PIN.
Una vez que se crea y se registra una llave de acceso, el usuario puede cambiar sin problemas a un dispositivo nuevo y usarlo de inmediato sin necesidad de volver a inscribirse (a diferencia de la autenticación biométrica tradicional, que requiere configuración en cada dispositivo).

Las llaves de acceso son más seguras:

Los desarrolladores solo guardan una clave pública en el servidor en lugar de una contraseña, lo que significa que hay mucho menos valor para una persona que actúa de mala fe y hackear servidores, y mucho menos para realizar limpiezas en caso de un incumplimiento.
Las llaves de acceso protegen a los usuarios de los ataques de suplantación de identidad (phishing). Las llaves de acceso solo funcionan en los sitios web y las apps registrados. No se puede engañar al usuario para que se autentique en un sitio engañoso porque el navegador o el SO se encargan de la verificación.
Las llaves de acceso reducen los costos de envío de SMS, lo que los convierte en un medio más seguro y rentable para la autenticación de dos factores.

¿Qué son las llaves de acceso?

Una clave de acceso es una credencial digital vinculada a una cuenta de usuario y a un sitio web o una aplicación. Las claves de acceso permiten que los usuarios se autentiquen sin tener que ingresar un nombre de usuario o una contraseña, ni proporcionar ningún factor de autenticación adicional. Esta tecnología busca reemplazar mecanismos de autenticación heredados, como contraseñas.

Cuando un usuario desea acceder a un servicio que usa llaves de acceso, su navegador o sistema operativo lo ayudará a seleccionar y usar la llave de acceso correcta. La experiencia es similar a la forma en que funcionan las contraseñas guardadas en la actualidad. Para garantizar que solo el propietario legítimo pueda usar una llave de acceso, el sistema le pedirá que desbloquee su dispositivo. Esto se puede realizar con un sensor biométrico (como una huella dactilar o un reconocimiento facial), un PIN o un patrón.

A fin de crear una clave de acceso para un sitio web o una aplicación, el usuario primero debe registrarse en ese sitio web o aplicación.

Ve a la aplicación y accede con el método de acceso existente.
Haz clic en el botón Crear llave de acceso.
Verifica la información almacenada con la nueva clave de acceso.
Usa el desbloqueo de la pantalla del dispositivo para crear la llave de acceso.

Cuando regresa a este sitio web o app, puede seguir estos pasos:

Ve a la aplicación.
Presiona el campo de nombre de la cuenta para ver una lista de claves de acceso en un diálogo de autocompletado.
Selecciona su llave de acceso.
Usa el desbloqueo de la pantalla del dispositivo para completar el acceso.

El dispositivo del usuario genera una firma a partir de la clave de acceso. Esta firma se usa para verificar la credencial de acceso entre el origen y la clave de acceso.

Un usuario puede acceder a los servicios en cualquier dispositivo mediante una llave de acceso, independientemente de dónde esté almacenada. Por ejemplo, se puede usar una llave de acceso creada en un teléfono celular para acceder a un sitio web en una laptop independiente.

¿Cómo funcionan las llaves de acceso?

Las llaves de acceso están diseñadas para usarse a través de la infraestructura del sistema operativo que permite a los administradores de llave de acceso crear, crear copias de seguridad y hacer que las llaves de acceso estén disponibles para las aplicaciones que se ejecutan en ese sistema operativo. En Android, las claves de acceso se pueden almacenar en el Administrador de contraseñas de Google, que sincroniza las claves de acceso entre los dispositivos Android del usuario que accedieron a la misma Cuenta de Google. Las claves de acceso se encriptan de forma segura en el dispositivo antes de sincronizarse y requieren su desencriptación en dispositivos nuevos. Los usuarios con Android OS 14 o versiones posteriores pueden optar por almacenar sus claves de acceso en un administrador de contraseñas de terceros compatible.

Los usuarios no están restringidos a usar las llaves de acceso solo en el dispositivo en el que están disponibles; las llaves de acceso disponibles en teléfonos se pueden usar cuando se accede a una laptop, incluso si la llave de acceso no está sincronizada con la laptop, siempre y cuando el teléfono esté cerca de la laptop y el usuario apruebe el acceso en el teléfono. Como las llaves de acceso se compilan en estándares FIDO, todos los navegadores pueden adoptarlas.

Por ejemplo, un usuario visita example.com en el navegador Chrome en su máquina con Windows. Este usuario accedió anteriormente a example.com en su dispositivo Android y generó una clave de acceso. En la máquina Windows, el usuario elige acceder con una llave de acceso desde otro dispositivo. Se conectarán los dos dispositivos y se le pedirá al usuario que apruebe el uso de su llave de acceso en el dispositivo Android, por ejemplo, con un sensor de huellas dactilares. Después de hacerlo, accede a la máquina con Windows. Ten en cuenta que la clave de acceso en sí no se transfiere a la máquina con Windows, por lo que, por lo general, example.com ofrecerá crear una clave de acceso nueva allí. De esta manera, no se requerirá el teléfono la próxima vez que el usuario acceda. Consulta Accede con un teléfono para obtener más información.

¿Quién usa llaves de acceso?

Varios servicios ya usan llaves de acceso en sus sistemas.

DocuSign
Google
- El principio de la contraseña
- Blog de seguridad en línea de Google: La autenticación es más rápida que nunca: claves de acceso y contraseñas
Kayak
Mercari
NTT Docomo
PayPal
Shopify
- Cómo las claves de acceso reducen la fricción en la experiencia de compra de comercio electrónico
- Compatibilidad con claves de acceso en los flujos de autenticación de una tienda
Yahoo! Japón
- Centro de ayuda de Yahoo! En Japón, la autenticación sin contraseña redujo las consultas en un 25% y aceleró el tiempo de acceso.

Pruébalo

Puedes probar las llaves de acceso en esta demostración: https://passkeys-demo.appspot.com/

Consideraciones de privacidad

Dado que el acceso con datos biométricos puede dar a los usuarios una falsa impresión de que esto está enviando información sensible al servidor. En realidad, el material biométrico nunca sale del dispositivo personal del usuario.
Las claves de acceso por sí solas no permiten realizar un seguimiento de los usuarios o dispositivos entre sitios. La misma clave de acceso nunca se utiliza con más de un sitio. Los protocolos de llave de acceso se diseñan cuidadosamente para que no se pueda usar información compartida con sitios como vector de seguimiento.
Los administradores de llaves de acceso protegen las llaves de acceso del uso y el acceso no autorizados. Por ejemplo, el Administrador de contraseñas de Google encripta los secretos de la clave de acceso de extremo a extremo. Solo el usuario puede acceder a ellos y usarlos, y aunque se haya creado una copia de seguridad de ellos en los servidores de Google, Google no puede usarlos para suplantar a los usuarios.

Consideraciones de seguridad

Las claves de acceso usan criptografía de clave pública. La criptografía de clave pública reduce la amenaza de posibles violaciones de la seguridad de los datos. Cuando un usuario crea una clave de acceso con un sitio o una aplicación, se genera un par de claves pública/privada en el dispositivo del usuario. Solo el sitio almacena la clave pública, pero esto no sirve para un atacante. Un atacante no puede obtener la clave privada del usuario a partir de los datos almacenados en el servidor, lo cual es necesario para completar la autenticación.
Como las claves de acceso están vinculadas a la identidad de un sitio web o una app, están protegidas de los ataques de suplantación de identidad (phishing). El navegador y el sistema operativo garantizan que una llave de acceso solo se pueda usar con el sitio web o la app que los creó. Esto evita que los usuarios sean responsables de acceder al sitio web o la app genuinos.

Recibir notificaciones

Suscríbete al boletín informativo para desarrolladores de llaves de acceso de Google a fin de recibir notificaciones sobre las actualizaciones.