General
¿Quién admite las llaves de acceso?
Debido a que las llaves de acceso se basan en los estándares FIDO, funcionan en Android y Chrome, junto con muchos otros ecosistemas y navegadores populares, como Microsoft Windows, Microsoft Edge, macOS, iOS y Safari.
Consulta Entornos compatibles para verificar el estado de compatibilidad en Chrome y Android.
¿Las llaves de acceso funcionan en dispositivos que no tienen configurado un método de bloqueo de pantalla?
Depende de la implementación del administrador de contraseñas si un proveedor de credenciales permite la creación y autenticación de llaves de acceso sin un desafío de factor de conocimiento del usuario. Los proveedores pueden pedirles a los usuarios que configuren un PIN o un bloqueo de pantalla biométrico antes de crear una llave de acceso.
¿Cómo se pueden usar las llaves de acceso registradas en una plataforma (como Android) para acceder en otras plataformas (como la Web o iOS)?
Una llave de acceso registrada en Android, por ejemplo, se puede usar para acceder en otras plataformas conectando el teléfono Android con otro dispositivo. Para establecer una conexión entre los dos dispositivos, los usuarios deben abrir el sitio al que intentan acceder en un dispositivo que no tenga una llave de acceso registrada, escanea un código QR y, luego, confirma el acceso en el dispositivo en el que crearon la llave de acceso (en este caso, el dispositivo Android). La llave de acceso nunca sale del dispositivo Android, por lo que, por lo general, las apps sugerirán crear una nueva en el otro dispositivo para facilitar el acceso la próxima vez. Este flujo también funcionará de manera similar en otras plataformas.
¿Puedo mover llaves de acceso sincronizadas de un proveedor de plataforma a otro?
Las llaves de acceso se guardan en el proveedor de credenciales definido por la plataforma. Algunas plataformas, como Android, permiten que los usuarios elijan el proveedor que deseen (un sistema o un administrador de contraseñas de terceros) a partir de Android 14, que puede sincronizar las llaves de acceso en diferentes plataformas. Por el momento, la compatibilidad para mover llaves de acceso directamente de un proveedor de plataforma a otro no está disponible.
¿Un usuario puede sincronizar sus llaves de acceso en dispositivos Android que no sean de Google?
Las llaves de acceso solo se sincronizan dentro del ecosistema del dispositivo (es decir, de Android a Android con el Administrador de contraseñas de Google de forma predeterminada), pero no en todo el ecosistema.
Android abrirá la plataforma (a partir de Android 14) para permitir que los usuarios seleccionen qué proveedor de credenciales desean usar (como un administrador de contraseñas de terceros). Eso permitirá casos de uso como la sincronización de llaves de acceso entre diferentes ecosistemas (según qué tan abiertas sean las demás plataformas).
¿Qué deben hacer los desarrolladores con los dispositivos y las plataformas que no admiten llaves de acceso?
Se recomienda a los desarrolladores que conserven las opciones de acceso existentes en su app por el momento para que sigan disponibles para los dispositivos y las superficies que no admiten llaves de acceso.
¿Puede vencer una llave de acceso?
No. Esto depende del proveedor que almacena las llaves de acceso y el RP (parte de confianza), pero no hay una práctica común para hacer que las llaves de acceso venzan.
¿Una parte restringida puede especificar una cuenta para que el usuario acceda?
Los terceros de confianza (apps de terceros) pueden propagar “allowCredentials” con una lista de IDs de credenciales enviados desde el backend de su app que indican qué llaves de acceso deben usarse para autenticar al usuario.
Llaves de acceso en Android y Chrome
¿Las apps para Android pueden usar llaves de acceso creadas en Chrome para la autenticación?
Para las llaves de acceso creadas en Chrome para Android:
Sí, las llaves de acceso creadas en Chrome se guardan en el Administrador de contraseñas de Google y están disponibles en Android, y viceversa, cuando los usuarios acceden a la misma Cuenta de Google.
Para llaves de acceso creadas en Chrome en otras plataformas:
Si la llave de acceso se crea en Chrome en otras plataformas (Mac, iOS y Windows), no. Consulta los entornos compatibles para obtener más información. Mientras tanto, los usuarios pueden usar el teléfono en el que crearon la llave de acceso para acceder.
¿Qué sucede con las credenciales creadas antes de que se agregaran las llaves de acceso? ¿Podemos seguir usándolos?
Sí, tanto en Chrome como en Android, las credenciales vinculadas al dispositivo que se crearon antes de habilitar la sincronización están disponibles y se pueden usar para la autenticación.
¿Qué sucede si un usuario pierde su dispositivo?
Se crea una copia de seguridad de las llaves de acceso en Android y se sincronizan con los dispositivos Android que acceden a la misma Cuenta de Google, del mismo modo que se crea una copia de seguridad de las contraseñas en el administrador de contraseñas.
Eso significa que las llaves de acceso del usuario van con ellas cuando reemplazan sus dispositivos. Para acceder a apps en un teléfono nuevo, lo único que el usuario debe hacer es verificarse con el bloqueo de pantalla de su dispositivo actual.
¿Es suficiente la configuración biométrica y de PIN o patrón de bloqueo de pantalla en el dispositivo para acceder con llaves de acceso o es suficiente?
Un método de bloqueo de pantalla es suficiente.
¿La llave de acceso está vinculada a un método de bloqueo de pantalla específico, como la huella dactilar, el PIN o el patrón?
Depende de la plataforma del dispositivo y de cómo ejecuten la verificación del usuario. En el caso del Administrador de contraseñas de Google, las llaves de acceso no están vinculadas a ningún método de autenticación específico y se pueden usar con cualquier factor de bloqueo de pantalla disponible (biométrico, PIN o patrón).
¿Un RP puede seguir creando credenciales vinculadas al dispositivo que no estén sincronizadas?
Por el momento, las credenciales no detectables creadas en Chrome para Android o en una app para Android que usa las APIs de los Servicios de Play mantienen su comportamiento existente y, por lo tanto, continúan vinculadas al dispositivo.
Cuando se usan llaves de acceso, la extensión de clave pública del dispositivo que está en desarrollo es una segunda clave vinculada al dispositivo que no se sincronizará y que se puede usar para el análisis de riesgos. Sin embargo, aún no se admite esta opción en ningún proveedor de credenciales.
¿Cómo funciona la sincronización de las llaves de acceso con un dispositivo nuevo? ¿Los usuarios deben tener acceso al dispositivo en el que crearon una llave de acceso?
En Android:
Si se guardaron las llaves de acceso en el Administrador de contraseñas de Google, lo único que debe hacer el usuario es acceder al dispositivo nuevo con la misma Cuenta de Google y verificarse con el bloqueo de pantalla del dispositivo anterior (PIN, patrón o contraseña). El dispositivo anterior no es necesario para que el usuario acceda a otros dispositivos.
Si las llaves de acceso se guardaron en un proveedor de credenciales diferente, dependerá de los flujos de acceso en los dispositivos nuevos de ese proveedor. La mayoría de los proveedores de credenciales sincronizan las credenciales con la nube y ofrecen a los usuarios formas de acceder a ellas en dispositivos nuevos después de autenticarse.
Privacidad y seguridad
¿La información biométrica del usuario está segura?
Sí, los datos biométricos de los usuarios nunca salen del dispositivo ni se almacenan en un servidor central, donde se podrían robar en una violación de la seguridad.
¿Un usuario puede acceder al dispositivo de un amigo con una llave de acceso en su teléfono?
Sí. Los usuarios pueden configurar un “vínculo único” entre su teléfono y el de otra persona para acceder.
¿Las llaves de acceso almacenadas en el Administrador de contraseñas de Google están protegidas si la Cuenta de Google de un usuario se ve comprometida?
Sí, los secretos de las llaves de acceso están encriptados de extremo a extremo. Una Cuenta de Google vulnerada no expondría las llaves de acceso, ya que los usuarios también deben desbloquear la pantalla de su dispositivo Android para desencriptar las llaves de acceso.
Temas relacionados
¿Cómo se comparan las llaves de acceso con la federación de identidades?
La federación de identidades es excelente para registrarse en un servicio, ya que muestra la información básica de perfil del usuario, como el nombre y la dirección de correo electrónico verificada, que ayudan a iniciar cuentas nuevas. Las llaves de acceso son ideales para optimizar la reauthentication de los usuarios.