Se usó la API de Cloud Translation para traducir esta página.

Preguntas frecuentes

General

¿Quiénes admiten las llaves de acceso?

Como las llaves de acceso se basan en los estándares de FIDO, funcionan en Android y Chrome, además de muchos otros ecosistemas y navegadores populares, como Microsoft Windows, Microsoft Edge, macOS, iOS y Safari.

Consulta Entornos compatibles para verificar el estado de compatibilidad en Chrome y Android.

¿Las llaves de acceso funcionan en dispositivos que no tienen configurado un método de bloqueo de pantalla?

Depende de la implementación del administrador de contraseñas si un proveedor de credenciales permite la creación y la autenticación de una llave de acceso sin un desafío de factor de conocimiento del usuario. Los proveedores pueden solicitar a los usuarios que configuren un PIN o un bloqueo de pantalla biométrico antes de crear una llave de acceso.

¿Cómo se pueden usar las llaves de acceso registradas en una plataforma (como Android) para acceder a otras plataformas (como la Web o iOS)?

Por ejemplo, una llave de acceso registrada en Android se puede usar para acceder en otras plataformas conectando el teléfono Android con otro dispositivo. Para establecer una conexión entre los dos dispositivos, los usuarios deben abrir el sitio al que intentan acceder en un dispositivo que no tenga una llave de acceso registrada, escanear un código QR y, luego, confirmar el acceso en el dispositivo en el que crearon la llave de acceso (en este caso, el dispositivo Android). La llave de acceso nunca sale del dispositivo Android, por lo que, por lo general, las apps sugerirán crear una nueva llave de acceso en el otro dispositivo para facilitar el acceso la próxima vez. Este flujo también funcionará de manera similar en otras plataformas.

¿Puedo mover llaves de acceso sincronizadas de un proveedor de plataformas a otro?

Las llaves de acceso se guardan en el proveedor de credenciales que define la plataforma. Algunas plataformas, como Android, permiten que los usuarios elijan el proveedor que prefieran (un administrador de contraseñas del sistema o de terceros) a partir de Android 14, que puede sincronizar llaves de acceso en diferentes plataformas. Por el momento, no se admite la transferencia directa de llaves de acceso de un proveedor de plataformas a otro.

¿Puede un usuario sincronizar sus llaves de acceso en dispositivos Android que no sean de Google?

Las llaves de acceso solo se sincronizan dentro del ecosistema del dispositivo (es decir, de Android a Android con el Administrador de contraseñas de Google de forma predeterminada), pero no en todo el ecosistema.

Android está abriendo la plataforma (a partir de Android 14) para permitir que los usuarios seleccionen el proveedor de credenciales que desean usar (como un administrador de contraseñas de terceros). Esto permitirá casos de uso como la sincronización de llaves de acceso entre diferentes ecosistemas (según el nivel de apertura de otras plataformas).

¿Qué deben hacer los desarrolladores con los dispositivos y las plataformas que no admiten llaves de acceso?

Se recomienda a los desarrolladores que mantengan las opciones de acceso existentes en sus apps por el momento para que sigan disponibles en los dispositivos y las plataformas que no admiten llaves de acceso.

¿Pueden vencer las llaves de acceso?

No. Esto depende del proveedor que almacena las llaves de acceso y de la RP (entidad que confía), pero no existe una práctica común para que las llaves de acceso venzan.

¿Puede un RP especificar una cuenta con la que el usuario debe acceder?

Los usuarios de confianza (apps de terceros) pueden completar el parámetro "allowCredentials" con una lista de IDs de credenciales que se envían desde el backend de su app para indicar qué llaves de acceso se deben usar para autenticar al usuario.

Llaves de acceso en Android y Chrome

¿Pueden las apps para Android usar las llaves de acceso creadas en Chrome para la autenticación?

En el caso de las llaves de acceso creadas en Chrome para Android, haz lo siguiente:

Sí, las llaves de acceso creadas en Chrome se guardan en el Administrador de contraseñas de Google y están disponibles en Android y viceversa cuando los usuarios acceden a la misma Cuenta de Google.

Nota: El primer paso para habilitar la compatibilidad con llaves de acceso para tu app para Android es asociar tu app y el sitio web. Para ello, aloja un archivo JSON de Vínculos de recursos digitales en tu sitio web y agrega un vínculo a ese archivo en el manifiesto de tu app. Esto demuestra que eres propietario del sitio web y de la app. Para obtener más información, consulta la documentación sobre los Vínculos de recursos digitales.
En el caso de las llaves de acceso creadas en Chrome en otras plataformas, haz lo siguiente:

No. Consulta los entornos compatibles para obtener más información. Mientras tanto, los usuarios pueden usar el teléfono en el que crearon la llave de acceso para acceder.

¿Qué sucede con las credenciales creadas antes de que se agregaran las llaves de acceso? ¿Podemos seguir usándolos?

Sí, tanto en Chrome como en Android, las credenciales vinculadas al dispositivo que se crearon antes de que habilitáramos la sincronización están disponibles y se pueden seguir usando para la autenticación.

¿Qué sucede si un usuario pierde su dispositivo?

Las llaves de acceso creadas en Android se sincronizan con los dispositivos Android que accedieron a la misma Cuenta de Google, de la misma manera en que se crea una copia de seguridad de las contraseñas en el administrador de contraseñas.

Esto significa que las llaves de acceso del usuario lo acompañan cuando reemplaza sus dispositivos. Para acceder a las apps en un teléfono nuevo, el usuario solo debe verificarse con el bloqueo de pantalla de su dispositivo existente.

¿Se requiere la configuración del bloqueo de pantalla biométrico y con PIN o patrón en el dispositivo para acceder con llaves de acceso, o basta con uno de estos?

Un método de bloqueo de pantalla es suficiente.

¿Una llave de acceso está vinculada a un método de bloqueo de pantalla específico, como huella dactilar, PIN o patrón?

Depende de la plataforma del dispositivo y de cómo se ejecuta la verificación del usuario. En el caso del Administrador de contraseñas de Google, las llaves de acceso no están vinculadas a ningún método de autenticación específico y se pueden usar con cualquier factor de bloqueo de pantalla disponible (biométrico, PIN o patrón).

¿Puede un RP crear credenciales vinculadas al dispositivo que no estén sincronizadas?

Por el momento, las credenciales no detectables creadas en Chrome en Android o en una app para Android que use las APIs de Play Services conservan su comportamiento existente y, por lo tanto, siguen vinculadas al dispositivo.

Cuando se usan llaves de acceso, la extensión de clave pública del dispositivo, que está en desarrollo, es una segunda clave vinculada al dispositivo que no se sincronizará y que se puede usar para el análisis de riesgos. Sin embargo, ningún proveedor de credenciales admite esta opción aún.

¿Cómo funciona la sincronización de llaves de acceso en un dispositivo nuevo? ¿Los usuarios deben tener acceso al dispositivo en el que crearon una llave de acceso?

En Android:

Si las llaves de acceso se guardaron en el Administrador de contraseñas de Google, el usuario solo deberá acceder al nuevo dispositivo con la misma Cuenta de Google y verificarse con el bloqueo de pantalla del dispositivo anterior (PIN, patrón o contraseña). El dispositivo anterior no es necesario para que el usuario acceda a otros dispositivos.
Si las llaves de acceso se guardaron en un proveedor de credenciales diferente, dependerá de los flujos de acceso en los dispositivos nuevos de ese proveedor de credenciales. La mayoría de los proveedores de credenciales sincronizan las credenciales con la nube y ofrecen a los usuarios formas de acceder a ellas en dispositivos nuevos después de autenticarse.

Privacidad y seguridad

¿Está segura la información biométrica del usuario?

Sí, los datos biométricos de los usuarios nunca salen del dispositivo ni se almacenan en un servidor central, donde se podrían robar en una violación de la seguridad.

¿Un usuario puede acceder al dispositivo de un amigo con una llave de acceso en su teléfono?

Sí. Los usuarios pueden configurar un “vínculo único” entre su teléfono y el dispositivo de otra persona para acceder.

¿Las llaves de acceso almacenadas en el Administrador de contraseñas de Google están protegidas si se vulnera la Cuenta de Google de un usuario?

Sí, los secretos de las llaves de acceso están encriptados de extremo a extremo. Una Cuenta de Google vulnerada no expondría las llaves de acceso, ya que los usuarios también deben desbloquear la pantalla de su dispositivo Android para desencriptarlas.

Temas relacionados

¿Cómo se comparan las llaves de acceso con la federación de identidades?

La federación de identidades es una excelente solución para los servicios que se integran con uno o más proveedores de OpenID. Devuelve la información básica del perfil del usuario, como el nombre y la dirección de correo electrónico verificada, y, al igual que las llaves de acceso, proporciona un mecanismo de acceso seguro y conveniente. Por otro lado, las llaves de acceso no requieren integración con un proveedor de OpenID, pero carecen de información básica del perfil. Los desarrolladores deben recomendar llaves de acceso a los usuarios que utilizan contraseñas. Los desarrolladores deben considerar de forma independiente la integración con uno o más proveedores de OpenID para brindarles opciones a los usuarios.