Acceso sin contraseña con claves de acceso

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Claves de acceso

Introducción

Las contraseñas son un reemplazo más seguro y sencillo de las contraseñas. Con las claves de acceso, los usuarios pueden acceder a apps y sitios web con un sensor biométrico (como una huella digital o un reconocimiento facial), un PIN o un patrón, lo que les libera de la necesidad de recordar y administrar contraseñas.

Una clave de acceso puede reemplazar una contraseña y un segundo factor en un solo paso. La experiencia del usuario puede ser tan simple como autocompletar un formulario de contraseña. A diferencia de los SMS o las contraseñas de un solo uso basadas en apps, las claves de acceso proporcionan protección sólida contra ataques de suplantación de identidad (phishing). Dado que las claves de contraseña son estandarizadas, una sola implementación permite una experiencia sin contraseña en diferentes navegadores y sistemas operativos.

¿Qué son las claves de acceso?

Una clave de acceso es una credencial digital vinculada a una cuenta de usuario y a un sitio web o una aplicación. Las claves de acceso permiten que los usuarios se autentiquen sin tener que ingresar un nombre de usuario, una contraseña ni proporcionar ningún factor de autenticación adicional. Esta tecnología tiene como objetivo reemplazar los mecanismos de autenticación heredados, como las contraseñas.

Cuando un usuario desea acceder a un servicio que usa claves de acceso, su navegador o sistema operativo lo ayudará a seleccionar y usar la clave de acceso correcta. La experiencia es similar al funcionamiento actual de las contraseñas guardadas. Para asegurarse de que solo el propietario legítimo pueda usar una clave de acceso, el sistema le pedirá que desbloquee el dispositivo. Esto se puede realizar con un sensor biométrico (como una huella digital o un reconocimiento facial), un PIN o un patrón.

A fin de crear una clave de acceso para un sitio web o aplicación, el usuario primero debe registrarse en ese sitio web o aplicación. Cuando regresen a este sitio web o app, podrán realizar los siguientes pasos:

  1. Ve a la aplicación.
  2. Haga clic en Acceder.
  3. Selecciona la llave maestra.
  4. Usa el desbloqueo de pantalla del dispositivo para completar el acceso.

El dispositivo del usuario genera una firma a partir de la clave de acceso. Esta firma se usa para verificar la credencial de acceso entre el origen y la clave de acceso.

Un usuario puede acceder a los servicios en cualquier dispositivo con una clave de acceso, sin importar dónde esté almacenada. Por ejemplo, una clave de acceso creada en un teléfono celular se puede usar para acceder a un sitio web en una laptop independiente.

¿Cómo funcionan las claves de acceso?

Las claves de acceso están diseñadas para usarse en la infraestructura del sistema operativo que permite a los administradores de claves crear, crear copias de seguridad y hacer que estén disponibles para las aplicaciones que se ejecutan en ese sistema operativo. En Chrome para Android, las claves de acceso se almacenan en el Administrador de contraseñas de Google, que sincroniza las claves de acceso entre los dispositivos Android del usuario que accedieron a la misma Cuenta de Google.

Los usuarios no están restringidos a usar las claves de acceso solo en el dispositivo en el que se almacenan. Las claves de acceso almacenadas en los teléfonos se pueden usar cuando se accede a una laptop, incluso si esta no está sincronizada con la laptop, siempre que el teléfono esté cerca de la laptop y el usuario apruebe el acceso en el teléfono. Como las claves de contraseña se compilan en estándares FIDO, todos los navegadores pueden adoptarlas.

Por ejemplo, un usuario visita site.example en su Chromebook. Este usuario ya accedió a site.example en su dispositivo iOS y generó una clave de acceso. En la Chromebook, el usuario elige acceder con una clave de acceso desde otro dispositivo. Se conectarán ambos dispositivos y se le pedirá al usuario que apruebe el uso de su clave de acceso en el dispositivo iOS, p.ej., con FaceID. Luego, accederán a la Chromebook. Ten en cuenta que la clave de acceso en sí no se transfiere a la Chromebook, por lo que, por lo general, site.example te ofrecerá crear una clave de acceso nueva allí. De esta manera, no se necesitará el teléfono la próxima vez que el usuario desee acceder. Consulta Acceder con un teléfono para obtener más información.

Sincronización de claves

Consideraciones de privacidad

  • Algunos usuarios pueden sorprenderse si aparece repentinamente una autenticación biométrica en un sitio web o una app y piensan que está enviando información sensible al servidor. Con las claves de acceso, la información biométrica del usuario nunca se revela en el sitio web ni en la app. Los materiales biométricos nunca salen del dispositivo personal del usuario.
  • Las claves de acceso no permiten el seguimiento de usuarios o dispositivos entre sitios. La misma clave de acceso nunca se usa con más de un sitio. Los protocolos de clave de acceso están diseñados cuidadosamente para que no se pueda usar información compartida con sitios como un vector de seguimiento.
  • Los administradores de claves de acceso protegen las claves de acceso del uso y acceso no autorizados. Por ejemplo, el Administrador de contraseñas de Google encripta los secretos de la clave de acceso de extremo a extremo. Solo el usuario puede acceder a ellos y usarlos, y, aunque haya una copia de seguridad en los servidores de Google, Google no puede usarlos para robar la identidad de los usuarios.

Consideraciones de seguridad

  • Las claves de acceso usan criptografía de clave pública. La criptografía de clave pública reduce la amenaza de posibles incumplimientos de datos. Cuando un usuario crea una clave de acceso con un sitio o una aplicación, se genera un par de clave pública/privada en el dispositivo del usuario. El sitio almacena solo la clave pública, pero esto es inútil para un atacante. Un atacante no puede obtener la clave privada del usuario a partir de los datos almacenados en el servidor, lo cual es necesario para completar la autenticación.
  • Debido a que las claves de acceso están vinculadas a la identidad de un sitio web o una app, están a salvo de la suplantación de identidad (phishing). El navegador y el sistema operativo garantizan que una clave de acceso solo se pueda usar con el sitio web o la app que los creó. Esto evita que los usuarios sean responsables de acceder al sitio web o la app genuinos.

Recibir notificaciones

Suscríbete al boletín informativo para desarrolladores sobre claves de acceso de Google a fin de recibir notificaciones sobre las actualizaciones.