Cómo usar Passkeys en tu iPhone, iPad y Mac

«Passkey» es el nombre de un proceso de inicio de sesión simplificado para sitios web que llegó en todo su esplendor a finales de este año con macOS 13 Ventura, iOS 16 y iPadOS 16. Una clave de acceso se basa en estándares de la industria ampliamente admitidos para permitirle llevar a cabo un inicio de sesión encriptado casi sin esfuerzo de su parte después de la configuración inicial.

Puede probar una clave de acceso sin instalar las versiones beta públicas de estos próximos sistemas operativos, ya que Apple incorporó compatibilidad con claves de acceso en forma de vista previa en Safari en todos sus sistemas operativos en iOS 15, iPadOS 15 y Safari 15 con macOS 12 Monterey. Con el lanzamiento completo de claves de acceso en unas pocas semanas o meses, y el soporte anunciado por Google y Microsoft para tecnología compatible, es probable que vea opciones para agregar un inicio de sesión con clave de acceso en muchos sitios web este otoño.

Así es como funciona el proceso.

ID de Apple

A partir de iOS 17 y macOS 14 Sonoma, su ID de Apple admitirá la autenticación con clave de acceso. En cualquier lugar donde necesite iniciar sesión con su ID de Apple, incluidos los sitios web e icloud.com, tendrá dos opciones para iniciar sesión: con una contraseña estándar o presionando el botón «Continuar con Apple» que mostrará un código QR que puede ser escaneado con la cámara de su iPhone para crear el código único.

Inscríbete en un sitio web

Una clave de acceso comprende un conjunto emparejado de claves de cifrado, conocido generalmente como criptografía de clave pública. Cuando visita un servidor que admite WebAuthn (la tecnología requerida para aceptar, almacenar e interactuar con una clave de acceso), su navegador presentará la clave pública del par de cifrado. La clave pública no se puede usar para iniciar sesión, sino para probar su identidad: usted posee la clave privada, que se crea en su dispositivo y nunca la deja para iniciar sesión.

Para inscribirse, visite un sitio web que ofrece soporte de claves de acceso. Un sitio puede indicar que admite claves de paso de forma genérica, decir que es compatible con WebAuthn o declarar que es compatible con FIDO2, CTAP o «credenciales FIDO para múltiples dispositivos». Todos esos términos deberían significar que puede usar una clave de acceso de Apple (o Google o Microsoft) como su credencial de inicio de sesión. (FIDO2 es el nombre dado por el grupo comercial FIDO Alliance, una parte clave para hacer realidad las claves de acceso y WebAuthn, y del cual son miembros Apple, Microsoft y Google).

El proceso funcionará de manera muy similar a cuando se inscribe en un sitio para la autenticación de dos factores (2FA) o si ha utilizado previamente una clave de hardware para WebAuthn, como las que fabrica Yubico:

1. Inicie sesión con su nombre de usuario y contraseña existentes.
2. El sitio puede solicitarle una verificación adicional. Esto podría ser un enlace enviado por correo electrónico, un código enviado por mensaje de texto o un aviso para un reconocimiento 2FA con un código o mediante una aplicación que ya tiene instalada en su iPhone o iPad.
3. La sección de seguridad del sitio le permite elegir usar una clave de acceso o uno de los nombres alternativos anteriores.
4. El servidor web envía una solicitud a su navegador para proporcionar información de cifrado.
5. Se le solicitará que apruebe esta solicitud con Touch ID, Face ID o la contraseña de su dispositivo, según lo que esté disponible y habilitado.
6. Si valida con éxito su identidad, su dispositivo genera el par de claves pública/privada. La clave privada se almacena en su dispositivo y nunca se envía al sitio remoto.
7. Su navegador envía la clave pública junto con un mensaje firmado criptográficamente que el servidor puede validar utilizando la clave pública proporcionada: solo alguien cuyo dispositivo tenga la clave privada puede generar un mensaje verificable.
8. El servidor web almacena su clave pública para sus futuros inicios de sesión.

La configuración de un inicio de sesión con clave de acceso puede deshabilitar la 2FA en su cuenta o permitirle optar por un inicio de sesión con clave de acceso en lugar de una vía 2FA. Una clave de acceso proporciona prueba de posesión tanto de un secreto como del dispositivo en el que está almacenado, dos factores en la práctica. (Algunos sitios y servicios de mayor seguridad aún pueden requerir 2FA en lugar de una clave de acceso o además de ella).

Puede ver el proceso de la clave de paso en funcionamiento con algunas de las piezas técnicas subyacentes expuestas en Webauthn.me, un sitio creado por Auth0, un proveedor de servicios de autenticación. Algunos sitios de producción actualmente ofrecen inicios de sesión compatibles con contraseñas, pero son bastante pocos en este momento. Puede configurar una cuenta de Google o Dropbox para usar una «clave de seguridad» y usar una clave de acceso en su lugar. Vea a continuación mi experiencia con eso.

Iniciar sesión con una clave de paso

En un sitio inscrito, puede usar una clave de acceso almacenada la próxima vez que necesite iniciar sesión. Es posible que haya notado que muchos sitios web han comenzado a dividir el envío de nombre de usuario o correo electrónico de cuenta de un envío de contraseña, que parece estar preparado para claves de acceso. .

Con un sitio completamente listo para claves de acceso, tocará o hará clic en un nombre de usuario o campo de correo electrónico de la cuenta y Safari le pedirá que valide un inicio de sesión con clave de acceso. En algunos casos, Safari puede preguntarle primero si desea permitir los inicios de sesión con Touch ID o «clave de seguridad» en el sitio; hacer clic Permitir continuar. Luego, puede autenticarse a través de Touch ID, Face ID o la contraseña de su dispositivo al igual que durante la inscripción. ¡Eso es todo! Usando el sitio Webauthn.me mencionado anteriormente, puede probar esto en el Paso 4 de su proceso.

Con algunos sitios que son compatibles con WebAuthn pero que aún no están completamente alineados con el proceso de clave de acceso simplificado, es posible que se le solicite realizar un inicio de sesión normal con nombre de usuario y contraseña. antes el sitio inicia la secuencia que le pide a su navegador una clave de acceso.

Pude inscribirme con una clave de acceso en Dropbox eligiendo la opción Clave de seguridad y siguiendo las indicaciones dentro de Safari para macOS. (Mientras haya iniciado sesión en Dropbox a través de Safari, haga clic en su avatar en la esquina superior derecha, haga clic en el Seguridad enlace y haga clic en Agregar junto a «Claves de seguridad». Cuando le pregunte si ha insertado la llave, confirme que sí).

Los inicios de sesión posteriores funcionaron en Safari para macOS, pero no en Safari para iOS, probablemente debido a la falta de compatibilidad con la sincronización del llavero de iCloud antes del lanzamiento de los nuevos sistemas operativos. En iOS 16, iPadOS 15 y Ventura, con el llavero de iCloud activado, las claves de acceso se sincronizarán y aparecerán en la lista. Ajustes > contraseñas en iOS/iPadOS y Ajustes del sistema > contraseñas en Ventura.

Apple le permitirá compartir claves de acceso con otros usuarios de Apple enviándolas de forma segura a través de AirDrop. Esto compartirá tanto la clave pública como la privada y les dará a las personas el mismo grado de acceso a la cuenta que si les hubiera dado el nombre de usuario, la contraseña y el token de dos factores para su cuenta.

Iniciar sesión desde otros dispositivos

Algunos sitios le permitirán especificar un inicio de sesión con clave de acceso como su único método para obtener acceso. Entonces, ¿qué sucede si está tratando de iniciar sesión desde un dispositivo que no tiene su clave de acceso almacenada, como una computadora comunitaria o familiar, un dispositivo en el trabajo o uno al que tiene acceso mientras viaja? ¿O necesita usar un sistema Windows o un teléfono Android para acceder a un sitio debido a las características específicas de esas plataformas? Apple demostró un enfoque inteligente en su introducción a las claves de acceso en la Conferencia Mundial de Desarrolladores de 2022 que requiere un código QR y Bluetooth.

El proceso funciona así:

1. En un dispositivo con un sistema operativo o navegador lo suficientemente nuevo como para admitir inicios de sesión de WebAuthn, cuando ingresa su nombre de cuenta en un sitio web con el que usa una clave de acceso.
2. El sitio consultará al navegador para obtener una clave de acceso y el navegador descubrirá que no tiene ninguna. Luego puede hacer clic para proporcionar una clave de acceso a través de un proxy, como al hacer clic en «Agregar un nuevo teléfono».
3. El sitio envía una consulta que hace que el navegador muestre un código QR.
4. En su iPhone o iPad, escanea el código QR y toca el mensaje «Iniciar sesión con una clave de paso».
5. En su dispositivo, haga clic en Continuar y luego apruebe el inicio de sesión con Touch ID, Face ID o la contraseña de su dispositivo.
6. El navegador muestra que ha iniciado sesión.

Manzana

Durante este proceso, el dispositivo en el que se muestra el código QR y su iPhone o iPad establecen una conexión silenciosa a través de Bluetooth e intercambian información clave. Esto permite que su dispositivo se asegure de que el inicio de sesión se está realizando utilizando un equipo que está cerca para evitar ataques remotos, y el canal trasero de Bluetooth es un canal encriptado separado de la conexión del navegador, evitando ataques de phishing que presentan inicios de sesión falsos.

Una vez que haya autenticado su inicio de sesión en ese otro dispositivo, su sesión continúa con normalidad. Asegúrese de cerrar sesión cuando haya terminado para borrar el estado.

El futuro son las llaves maestras

La simplicidad de las claves oculta la sofisticación. Por una vez, obtenemos facilidad, sin gastos generales para administrar el proceso y el nivel de seguridad más alto posible. Cada inicio de sesión es único, se almacena para usted y se verifica en ambas direcciones, por su dispositivo y por el sitio, para garantizar que solo la persona con acceso a su dispositivo pueda iniciar sesión en el sitio.