Acceso sin contraseña con claves de acceso

Introducción

Las claves de acceso son un reemplazo de contraseñas más seguro y sencillo. Con estas claves, los usuarios pueden acceder a apps y sitios web con un sensor biométrico (como una huella digital o reconocimiento facial), un PIN o un patrón, lo que les evita tener que recordar y administrar contraseñas.

Una clave de acceso puede reemplazar una contraseña y un segundo factor en un solo paso. La experiencia del usuario puede ser tan simple como completar un formulario de contraseña. Las claves de acceso proporcionan una protección sólida contra los ataques de suplantación de identidad (phishing), a diferencia de los SMS o las contraseñas de aplicación de un solo uso. Debido a que las claves de acceso están estandarizadas, una sola implementación permite una experiencia sin contraseña en diferentes navegadores y sistemas operativos.

¿Qué son las claves de acceso?

Una clave de acceso es una credencial digital vinculada a una cuenta de usuario y un sitio web o una aplicación. Las claves de acceso permiten que los usuarios se autentiquen sin tener que ingresar un nombre de usuario, una contraseña ni proporcionar ningún factor de autenticación adicional. Esta tecnología tiene como objetivo reemplazar los mecanismos de autenticación heredados, como las contraseñas.

Cuando un usuario desea acceder a un servicio que usa claves de acceso, su navegador o sistema operativo lo ayudará a seleccionar y usar la clave de acceso correcta. La experiencia es similar a la forma en que funcionan las contraseñas guardadas. Para garantizar que solo el propietario legítimo pueda usar una clave de acceso, el sistema le pedirá que desbloquee su dispositivo. Esto se puede realizar con un sensor biométrico (como una huella digital o reconocimiento facial), un PIN o un patrón.

A fin de crear una clave de acceso para un sitio web o una aplicación, un usuario primero debe registrarse en ese sitio web o aplicación.

1. Ve a la aplicación y accede con el método de acceso existente.
2. Haz clic en el botón Crear una clave de acceso.
3. Verifica la información almacenada con la nueva clave de acceso.
4. Usa el desbloqueo de pantalla del dispositivo para crear la clave de acceso.

Cuando regresen a este sitio web o app, podrán seguir estos pasos:

1. Ve a la aplicación.
2. Haga clic en Acceder.
3. Selecciona su clave de acceso.
4. Usa el desbloqueo de pantalla del dispositivo para completar el acceso.

El dispositivo del usuario genera una firma según la clave de acceso. Esta firma se usa para verificar la credencial de acceso entre el origen y la clave de acceso.

Un usuario puede acceder a los servicios en cualquier dispositivo mediante una clave de acceso, sin importar dónde se almacene la clave de acceso. Por ejemplo, una clave de acceso creada en un teléfono celular se puede usar para acceder a un sitio web en una laptop independiente.

¿Cómo funcionan las claves de acceso?

Las claves de acceso están diseñadas para usarse a través de la infraestructura del sistema operativo que permite a los administradores de claves de acceso crear, crear copias de seguridad y hacer que las claves de acceso estén disponibles para las aplicaciones que se ejecutan en ese sistema operativo. En Chrome para Android, las claves de acceso se almacenan en el Administrador de contraseñas de Google, que sincroniza las claves de acceso entre los dispositivos Android del usuario que accedieron a la misma Cuenta de Google.

Los usuarios no están restringidos a usar las claves de acceso solo en el dispositivo en el que están almacenadas; las claves de acceso almacenadas en teléfonos se pueden usar cuando se accede a una laptop, incluso si la clave de acceso no está sincronizada con la laptop, siempre y cuando el teléfono esté cerca de la laptop y apruebe el acceso. Debido a que las claves de acceso se compilan en estándares FIDO, todos los navegadores pueden adoptarlas.

Por ejemplo, un usuario visita example.com en su Chromebook. Este usuario ya accedió a example.com en su dispositivo iOS y generó una clave de acceso. En la Chromebook, el usuario elige acceder con una clave de acceso de otro dispositivo. Los dos dispositivos se conectarán y se le solicitará al usuario que apruebe el uso de su clave de acceso en el dispositivo iOS, por ejemplo, con FaceID. Después de hacerlo, accede a la Chromebook. Ten en cuenta que la clave de acceso en sí misma no se transfiere a la Chromebook, por lo que, por lo general, example.com se ofrecerá a crear una clave de acceso nueva allí. De esa manera, no se requerirá el teléfono la próxima vez que el usuario quiera acceder. Lee Cómo acceder con un teléfono para obtener más información.

Consideraciones de privacidad

• Algunos usuarios pueden sorprenderse si de repente aparece una autenticación biométrica en un sitio web o una app y cree que se está enviando información sensible al servidor. Con las claves de acceso, la información biométrica del usuario nunca se revela al sitio web ni a la app. El material biométrico nunca sale del dispositivo personal del usuario.
• Las claves de acceso por sí solas no permiten realizar un seguimiento de los usuarios o dispositivos entre sitios. La misma clave de acceso nunca se usa con más de un sitio. Los protocolos de clave de acceso están diseñados cuidadosamente para que no se pueda usar información compartida con sitios como un vector de seguimiento.
• Los administradores de claves de acceso protegen las claves de acceso contra el acceso y el uso no autorizados. Por ejemplo, el Administrador de contraseñas de Google encripta los secretos de clave de acceso de extremo a extremo. Solo el usuario puede acceder a ellos y usarlos, y, aunque tenga una copia de seguridad en sus servidores, Google no puede usarlos para suplantar a otros usuarios.

Consideraciones de seguridad

• Las claves de acceso usan criptografía de clave pública. La criptografía de clave pública reduce la amenaza de posibles incumplimientos de datos. Cuando un usuario crea una clave de acceso con un sitio o una aplicación, se genera un par de clave pública/privada en el dispositivo del usuario. El sitio solo almacena la clave pública, pero no tiene sentido para un atacante. Un atacante no puede obtener la clave privada del usuario de los datos almacenados en el servidor, lo cual es necesario para completar la autenticación.
• Debido a que las claves de acceso están vinculadas a la identidad de un sitio web o app, están protegidas contra ataques de suplantación de identidad (phishing). El navegador y el sistema operativo garantizan que solo se pueda usar una clave de acceso con el sitio web o la app que los creó. Esto evita que los usuarios sean responsables de acceder al sitio web o la app genuinos.

Recibir notificaciones

Suscríbete al boletín informativo para desarrolladores de claves de acceso de Google a fin de recibir notificaciones sobre las actualizaciones de las claves de acceso.

Próximos pasos

• Obtén más información sobre cómo crear una clave de acceso para los accesos sin contraseña en la Web.
• Obtén información para permitir que los usuarios accedan con una clave de acceso mediante el autocompletado de formularios en la Web.
• Aprende a acceder a una app para Android con el Administrador de credenciales.