Cómo configurar llaves de seguridad de hardware con tu ID de Apple

Una ID de Apple puede ser la llave que desbloquee su tesoro en la nube, pero si está en las manos equivocadas, puede permitir que un intruso destruya recuerdos y contactos, acceda a su información financiera a través de restablecimientos de contraseña, se haga pasar por usted ante amigos en estafas e incluso rastree usted sin su permiso.

Apple continúa buscando formas adicionales de proteger su vida en línea y sus dispositivos al «reforzar» la forma en que inicia sesión en una ID de Apple desde sus dispositivos y a través de iCloud.com y los sitios web de ID de Apple, entre otros lugares. La última mejora llegó en enero de 2023 y requiere un mínimo de iOS 16.3, iPadOS 16.3 y macOS 13.2 en sus dispositivos.

Esta actualización le permite usar llaves de seguridad de hardware que se conectan a través de USB o Lightning o se conectan a través de NFC como un «segundo factor», además de una contraseña que prueba que usted es el titular legítimo de la cuenta.

Diseñada en torno a un protocolo de la industria ampliamente respaldado llamado FIDO (por el nombre del grupo comercial que lo desarrolló), una clave de seguridad tiene un chip interno que puede generar un conjunto de claves de cifrado para cada sitio en el que se inscribe con la clave de seguridad. No se pueden falsificar, interceptar ni duplicar. Necesitas la posesión física de una llave para usarla.

Varias empresas ofrecen estas claves. La firma Yubico fue pionera en ellos y tiene la mayor variedad, incluido uno que tiene conectores USB-C y Lightning en extremos opuestos. Cuestan alrededor de $ 20 a $ 60 cada uno. Apple requiere dos para la inscripción de ID de Apple. Algunas empresas los regalan como promoción para mejorar la seguridad de la cuenta. Tampoco necesitas dos del mismo fabricante.

Por qué deberías usar una llave de seguridad

El costo de dos claves, la necesidad de mantenerlas seguras y el requisito de tener una cada vez que necesite iniciar sesión en su ID de Apple podría ser demasiado para muchas personas. El sistema de autenticación de dos factores (2FA) basado en código existente de Apple podría funcionar lo suficientemente bien para usted, y solo requiere la posesión de un dispositivo confiable asociado con su cuenta de ID de Apple o un número de teléfono que haya validado para recibir mensajes de texto. mensajes o llamadas de voz automatizadas.

Sin embargo, las claves de seguridad de hardware se utilizan en más y más sitios web como un método de protección sólida de la cuenta y, si comienza a usarlas, es posible que le resulten más convenientes que otros métodos para iniciar sesión. ¿Entre otros beneficios? Puede usar la misma clave de hardware en varios dispositivos y plataformas, por lo que no está vinculando el inicio de sesión, por ejemplo, con el sistema de sincronización del llavero de iCloud.

Si está interesado en cambiar a claves de cifrado de hardware para los inicios de sesión de ID de Apple, primero compre dos de los anteriores y luego siga leyendo.

Una nota importante: Apple no deja muy claro en su documento Acerca de las claves de seguridad para la ID de Apple que las claves de seguridad reemplazan a la empresa que le envía códigos de seis dígitos a través de dispositivos o números de teléfono confiables. Apple señala: «Una clave de seguridad puede actuar como la segunda información, en lugar del código de verificación de seis dígitos que se usa normalmente». Sin embargo, en las pruebas, con las claves de seguridad habilitadas, no se puede utilizar el método basado en código. Deshabilitar las claves de seguridad vuelve a los códigos.

Cómo funciona entre bastidores: un par de llaves

Las claves de seguridad utilizan criptografía de clave pública, algo de lo que quizás haya oído hablar antes. Toda la complejidad está oculta para usted como usuario, una de las intenciones de FIDO Alliance. En la criptografía de clave pública, cada vez que necesita una nueva identidad, como una clave que se usa para probar su propiedad de una cuenta en un sitio web, un sistema operativo u otro software genera aleatoriamente un secreto seguro y deriva una clave pública y una clave privada de ellos, que están entrelazados matemáticamente.

La clave privada se mantiene estrictamente en secreto por su software o hardware. Por lo general, nunca sale de su dispositivo y es posible que usted, su propietario, ni siquiera pueda acceder directamente a él. La clave pública, sin embargo, se puede compartir libremente. Otras partes que posean su clave pública pueden usarla tanto para cifrar mensajes que solo usted puede leer, como para descifrarlos con su clave privada; y para verificar que un documento u otro mensaje que les envíe es válido. Su dispositivo puede «firmar» criptográficamente un mensaje con la clave privada, y cualquiera que tenga la clave pública puede estar seguro de que solo usted lo firmó.

Con una clave de seguridad de hardware y los protocolos FIDO, se inscribió en un sitio web registrándose a través de la configuración de su cuenta para usar la autenticación de dos factores con una clave de hardware. Su clave de hardware crea el secreto único para el sitio y transmite la clave pública al sitio, que la almacena con la información de su cuenta.

Al iniciar sesión más tarde, esto es lo que sucede:

• El sitio emite un desafío utilizando la clave pública que almacenó previamente para usted.
• Su sistema operativo se comunica con la clave de seguridad para que genere una respuesta, firmando el desafío con la clave privada para ese sitio web. (Si la clave pública que proporcionó el sitio web no coincide, indica un posible intento de phishing y el proceso falla).
• Su sistema operativo devuelve el desafío firmado.
• El sitio web utiliza la clave pública almacenada para validar su identidad. Si es así, estás conectado.

Si bien todo esto puede sonar quisquilloso, no estás involucrado en ninguno de los detalles. En cambio, para usar una clave de seguridad, insértela cuando se le solicite en un conector USB tipo A, USB-C o Lightning y presione, toque o toque. (Puede dejarlo insertado y activarlo cuando se lo solicite su dispositivo o un sitio web). Con una llave de seguridad NFC sin contacto, la acerca a un dispositivo compatible con NFC. La clave de seguridad genera la información adecuada en el momento de la inscripción o cuando vuelve a iniciar sesión más tarde.

Registra tu ID de Apple con claves de seguridad

Puede inscribirse en la autenticación de clave de seguridad para su ID de Apple a través de iOS 16.3/iPadOS 16.3 o posterior o macOS 13.2 o posterior. No puede inscribirse en iCloud.com o en el sitio web de ID de Apple.

Apple requiere que tengas al menos dos llaves de seguridad en caso de que pierdas una. Deberá almacenarlos en diferentes ubicaciones a las que tenga acceso.

En cualquier situación en el pasado en la que se le solicitó ingresar un código de autenticación, ahora deberá tener a mano una de sus claves de seguridad. Apple señala explícitamente que ese es siempre el caso para todas las siguientes tareas:

• Agregar un nuevo dispositivo.
• Inicie sesión en un sitio web de Apple con su ID de Apple.
• Restablece tu ID de Apple.
• Desbloquee una cuenta de ID de Apple bloqueada.
• Agregue o elimine claves de seguridad (pero no elimine la autenticación de la clave de seguridad por completo).

¡Advertencia! Si pierde ambas claves, o se las roban, se rompen o se destruyen, aún puede confiar en dispositivos confiables para recuperar el acceso a la cuenta o eliminar claves e inscribir otras nuevas. Sin embargo, si no puede usar sus llaves de seguridad y pierde el acceso a todos los dispositivos confiables, es probable que su cuenta de ID de Apple no esté disponible para siempre.

Después de habilitar las claves de seguridad, debe usar un iPhone o iPad cada vez que necesite iniciar sesión en un nuevo Watch, Apple TV o HomePod (cualquier modelo). No puedes usar una Mac para ese propósito.

Cómo configurar una llave de seguridad con tu ID de Apple (macOS)

Aquí se explica cómo configurar claves de seguridad para su ID de Apple en macOS:

1. Ir a  > Ajustes del sistema > Nombre de la cuenta > Contraseña y seguridad y haga clic Agregar a la derecha de la Claves de seguridad etiqueta.
2. Apple presenta una descripción general de cómo las llaves de seguridad afectan su cuenta. Hacer clic Agregar llaves de seguridad continuar.
3. Apple advierte que se requieren dos claves; hacer clic Continuar.
4. Aunque el cuadro de diálogo dice ID de Apple y «ID de Apple quiere hacer cambios», ingrese la contraseña de su cuenta de macOS y haga clic en Permitir.
5. Para agregar cada clave de seguridad, verá una pantalla Agregar la primera clave de seguridad o la segunda clave de seguridad. Siga estos pasos para ambos pases:
   1. Hacer clic Continuar.
   2. Cuando se le solicite Agregar claves de seguridad, inserte la clave si tiene un enchufe y luego actívela: presione un botón, manténgala presionada de cierta manera o tóquela.
   3. Asigne un nombre único a la clave, tal vez escriba un número en ella con un marcador indeleble, y haga clic en Continuar. De forma predeterminada, Apple completa el nombre del modelo de la clave.

6. Después de inscribir ambas claves, Apple proporciona una lista de dispositivos que actualmente están conectados a su cuenta de iCloud. Puede seleccionar aquellos para cerrar sesión en este paso, haga clic en Manténgase conectado a todoso incluso hacer clic Cancelar para finalizar el proceso sin inscripción.
7. En la pantalla de confirmación, haga clic en Hecho.

Apple envía un correo electrónico a la dirección asociada a tu ID de Apple para confirmar la inscripción (o alertarte de ese hecho).

Cómo configurar una llave de seguridad con tu ID de Apple (iOS/iPadOS)

El proceso es casi idéntico al uso de macOS. Dos diferencias:

• Empieza en Ajustes > Nombre de la cuenta > Contraseña y seguridad y toca Agregar llaves de seguridad.
• Cuando se le solicite agregar una clave en el paso 5->1 anterior, también puede traer una clave de seguridad equipada con NFC cerca de la parte superior de su iPhone o iPad y será reconocida y activada.

Cómo eliminar las llaves de seguridad o deshabilitarlas por completo

Apple no requiere la presencia de una clave de seguridad para eliminarla o deshabilitar la autenticación de la clave de seguridad. Ir a Ajustes (iOS/iPadOS)/Ajustes del sistema (mac OS) > Nombre de la cuenta > Contraseña y seguridad. Grifo Claves de seguridad o haga clic Editar al lado de Claves de seguridad etiqueta. (Este es un riesgo de seguridad: alguien con acceso al código de acceso de su iPhone o iPad puede deshabilitar la autenticación de clave de seguridad de hardware y luego usar la verificación de dos factores basada en código como se explica en este Wall Street Journal artículo sobre robos y agresiones físicas.)

Puede eliminar una sola clave solo si tiene tres o más inscritas.

En iOS/iPadOS:

• Toca una entrada y puedes cambiarle el nombre, o toca Eliminar clave y confirme para eliminarlo. Necesitarás una llave de seguridad para terminar.
• Grifo Eliminar todas las claves y confirme tocando Eliminar para deshabilitar la autenticación. Luego ingrese el código de acceso de su iPhone o iPad.
• Grifo Agregar clave de seguridad para registrar claves adicionales. Apple le solicita que finalice una de sus claves de seguridad existentes.

En macOS:

• Haga clic en el nombre de una entrada para cambiar el nombre.
• Seleccione una entrada y haga clic en el ícono menos (-) para eliminarla y confirmar su eliminación, luego proporcione la clave de seguridad.
• Hacer clic Eliminar todas las claves e ingrese la contraseña de su cuenta de macOS.
• Haga clic en el icono más (+) para inscribir claves adicionales. Apple le solicita una clave de seguridad ya registrada para finalizar.

En ambos casos, ahora se vuelve a habilitar la 2FA basada en código.