Negocios y empresas
Proteja su empresa de los cibercriminales.
Iniciar prueba gratuitaUna clave de acceso es una moderna tecnología de autenticación sin contraseñas que le permite acceder a cuentas y aplicaciones usando una clave criptográfica en lugar de una contraseña. Las claves de acceso usan la biometría (huella dactilar, reconocimiento facial, etc.) para confirmar la identidad del usuario.
A pesar de tener nombres parecidos, una clave de acceso no es lo mismo que una contraseña.
Una contraseña es una cadena de caracteres que los usuarios deben introducir para acceder a un sitio web o una aplicación, normalmente junto con un nombre de usuario. Para evitar violaciones de datos y robo de cuentas, el NIST recomienda lo siguiente a la hora de crear una contraseña:
Una clave de acceso es una nueva tecnología de autenticación que usa la criptografía de clave pública para permitir a los usuarios acceder a sitios web y aplicaciones sin tener que introducir una contraseña. En su lugar, el usuario se autentica de la misma manera que en su teléfono o tableta: con la huella dactilar, el reconocimiento facial y otro elemento biométrico; usando un patrón o indicando un número PIN. Por su mayor comodidad, la mayoría de las personas usan la autenticación biométrica.
En lugar de crear una contraseña para acceder a una cuenta, el usuario genera una clave de acceso (que, en realidad, son dos: una privada y otra pública) usando un autenticador. Este autenticador puede ser un dispositivo (como un teléfono o una tableta), un navegador web o un gestor de contraseñas que sea compatible con la tecnología de las claves de acceso.
Antes de generar una clave de acceso, el autenticador requerirá que el usuario se identifique con un PIN, un patrón o biometría. Después, el autenticador enviará la clave pública (que equivale aproximadamente a un nombre de usuario) al servidor web de la cuenta para su almacenamiento y almacenará de forma segura la clave privada localmente. Si el autenticador es un smartphone u otro dispositivo, la clave privada se almacenará en el llavero del dispositivo. Si el autenticador es un gestor de contraseñas, la clave privada se almacenará en la bóveda cifrada del gestor de contraseñas.
Para crear una clave de acceso nueva, el usuario accede como de costumbre a su cuenta y después habilita la opción de la clave de acceso en la pantalla de ajustes de seguridad del sitio web o de la aplicación. Luego, el sitio web o la aplicación pide al usuario que guarde la clave de acceso asociada a su dispositivo. El navegador web o el sistema operativo requerirá la autenticación biométrica para aprobar la solicitud y la clave de acceso se almacenará localmente.
En los inicios de sesión posteriores al sitio web, este le pedirá al usuario que use la clave de acceso desde el dispositivo para acceder, en lugar de una contraseña. Si el navegador web es compatible con la sincronización de claves de acceso entre dispositivos, la clave de acceso estará disponible en todos los dispositivos.
Si el usuario usa un dispositivo que no tiene la clave de acceso para el sitio web o la aplicación en cuestión, puede que tenga la opción de usar otro dispositivo. Si el navegador es compatible con la autenticación entre dispositivos, mostrará un código QR que se puede escanear con un dispositivo móvil para completar el acceso. La autenticación entre dispositivos también implica el uso del Bluetooth para asegurar la proximidad.
Esto es lo que ve el usuario final. Vamos a echar un vistazo a lo que ocurre en segundo plano, al nivel del servidor. Cuando un usuario final intenta acceder a su cuenta con una clave de acceso, el servidor de la cuenta envía un desafío al autenticador, que consiste en una cadena de datos. El autenticador usa la clave privada para resolver el desafío y envía de vuelta una respuesta, un proceso que se conoce como firmar los datos y verificar la identidad del usuario.
Observe que en ningún momento durante este proceso el servidor de la cuenta tiene que acceder a la clave privada del usuario, lo que significa que nunca se transmite información privada. Esto es posible gracias a que la clave pública (que el servidor nunca almacena) está matemáticamente relacionada con la clave privada. El servidor solo necesita la clave pública y los datos firmados para verificar que la clave privada pertenece al usuario.
Las claves de acceso son más seguras que las contraseñas por varios motivos:
Aunque es posible que las claves de acceso acaben sustituyendo a las contraseñas, no lo harán con los gestores de contraseñas. Al contrario, los gestores de contraseñas se volverán más importantes. Esto se debe a que las claves de acceso están vinculadas a un autenticador. Los usuarios tienen la opción de usar un dispositivo (normalmente un teléfono, aunque también tabletas, laptops o computadoras) o un gestor de contraseñas compatible con las claves de acceso.
Al principio, la opción más lógica parece ser usar un smartphone como autenticador, ya que siempre están con nosotros. No obstante, como muchas personas usan varios dispositivos, esto se convierte rápidamente en un inconveniente. Si un usuario quiere acceder a una cuenta o aplicación en un dispositivo diferente (como su tableta o laptop), tendrá que generar un código QR en ese dispositivo, después escanearlo con el autenticador y finalmente usar la biometría para acceder.
Un gestor de contraseñas como Keeper, que será compatible con las claves de acceso a principios de 2023, simplificará en gran medida este proceso al vincular la clave de acceso a una aplicación en lugar de a un dispositivo físico.
En el momento de escribir estas líneas, el número de sitios web y aplicaciones que admiten esta tecnología sigue siendo reducido. Apple, Microsoft, Best Buy, GoDaddy, PayPal, eBay y Kayak están actualmente entre las principales en admitir las claves de acceso.
No obstante, debido a su comodidad y seguridad, las claves de acceso están ganando en popularidad. Google aplicó la compatibilidad con claves de acceso a Chrome stable M108 para Windows, Android y macOS en diciembre de 2022, con compatibilidad para iOS y Chrome OS en preparación, además de un nuevo conjunto de API que llevará la compatibilidad con las claves de acceso a las aplicaciones de Android.