Lo mejor de Oktane llega a Ciudad de México el 11 de noviembre. ¡Regístrese ahora!
Prueba gratuita Contáctenos

Passkeys 101: Qué son y cómo reemplazarán las contraseñas

Acerca del autor

Salman Ladha

Senior Product Marketing Manager

Salman is Senior Product Marketing Manager at Okta, focused on communicating the value of Customer Identity as part of the digital experience. In a career that spans Auth0 (now Okta Customer Identity Cloud), Vidyard and Unbounce, Salman has helped emerging and enterprise companies improve customer acquisition, retention, and loyalty using SaaS marketing technologies in their go-to-market strategies. Outside Okta, he enjoys reading, working out, and catching the latest Marvel movie.

23 julio 2024 Tiempo de lectura: ~

Tabla de contenidos

Nunca querrá que la identidad sea una barrera entre usted y sus clientes. Pero el reciente Informe de tendencias de identidad del cliente de Okta encontró que:

  • El 33% de los encuestados indicaron sentirse frustrados cuando tienen que crear una contraseña que cumpla con requisitos específicos 
  • El 63% de los encuestados informan que, al menos una vez al mes, no pueden iniciar sesión en una cuenta porque olvidaron su nombre de usuario o contraseña.

A pesar de toda esa frustración, las contraseñas siguen siendo una de las formas más comunes de autenticación en línea, a pesar de que son inconvenientes e inseguras. 

Para combatir la plaga de las contraseñas, la autenticación sin contraseña ha ido ganando terreno a lo largo de los años como una forma de que las empresas protejan a sus clientes al tiempo que les proporcionan una mayor comodidad. La innovación más reciente en este campo son las passkeys (claves de acceso), cortesía de FIDO Alliance

En el año transcurrido desde que se anunciaron por primera vez las passkeys, mucho ha cambiado tanto en su nomenclatura como en su disponibilidad. Sin embargo, algo que aún no ha cambiado es la necesidad de una mayor concienciación sobre qué son las passkeys, cómo funcionan y sus beneficios. 

Esta publicación tiene como objetivo desmitificar esta tecnología nueva, original e incipiente para ayudarlo a pasar de decir "¿pass-qué?" a “passkey” (clave de acceso).

¿Qué son las passkeys?

Las passkeys reemplazan las contraseñas con lo que FIDO señala que son “inicios de sesión más rápidos, fáciles y seguros a sitios web y aplicaciones en todos los dispositivos de un usuario”. Añadiendo que “a diferencia de las contraseñas, las passkeys son siempre seguras y resistentes al phishing”. 

Dado que las passkeys reemplazan a las contraseñas, se consideran una forma de autenticación sin contraseña. 

Para ser un poco más técnicos, una clave de acceso es un par de claves criptográficas: una para tu organización que es pública y otra para tu usuario conocido que es privada. Es importante destacar que es una clave privada porque tu organización nunca la ve. Estos pares de claves juegan un papel fundamental en la autenticación real de un usuario, pero llegaremos a eso en un segundo.  

Las claves de acceso vienen en dos formas:

  • Claves de acceso sincronizadas, que se sincronizan entre los dispositivos de un usuario a través de un servicio en la nube, como un ecosistema de sistema operativo o un administrador de contraseñas. Para los clientes, el beneficio de esto es que la misma llave de acceso se puede utilizar en múltiples dispositivos en un ecosistema dado.  
  • Claves de acceso vinculadas al dispositivo, que nunca salen del dispositivo donde se generan. Estas se pueden utilizar en llaves de seguridad FIDO, incluidas aquellas que han logrado la certificación de nivel de seguridad.

Para las claves de acceso sincronizadas, en particular, la experiencia es perfecta y se puede acceder de la misma manera que los usuarios desbloquean sus dispositivos móviles: mediante un dato biométrico, un PIN o un patrón. 

¿Cómo funcionan?

Como se ha señalado anteriormente, las passkeys se basan en la criptografía de clave pública para la autenticación en lugar de las contraseñas. Este enfoque es significativamente más seguro porque no se transfiere ningún secreto compartido (una contraseña) al servidor de aplicaciones. En cambio, se utiliza un par de claves pública y privada para autenticarse en una aplicación. La clave pública se almacena en el servidor de la aplicación (en lugar de una contraseña) y la clave privada correspondiente se almacena en el dispositivo de un usuario. Es importante destacar que la clave privada no se comparte con la aplicación como una contraseña.

En este modelo, cuando un usuario intenta iniciar sesión, en lugar de verificar su identidad con una contraseña, el servidor emite un desafío digital que solo puede resolverse demostrando la posesión de la clave privada. Esto se hace a través de un desbloqueo de dispositivo familiar que utiliza biometría, PIN o un patrón en un teléfono, computadora portátil o tableta. Una vez desbloqueada, la clave privada "firma" el desafío y lo envía de vuelta al servidor para que la clave pública lo valide. 

Es importante destacar que, desde una perspectiva de experiencia del usuario, las complejidades de la criptografía (y los beneficios de seguridad) se producen entre bastidores, lo que simplifica su comodidad a un simple desbloqueo del dispositivo.  

Beneficios de las passkeys

Las passkeys mejoran simultáneamente la comodidad y la seguridad. 

Para los clientes que acceden a tu aplicación, puedes mejorar las tasas de conversión a través de experiencias sencillas de registro e inicio de sesión, a la vez que impulsas la lealtad con los más altos niveles de seguridad de la cuenta. 

Dado que se basan en los estándares FIDO, las passkeys están diseñadas intencionalmente para ser más resistentes a ataques como el phishing, en el que los malos actores utilizan comunicaciones escritas (por ejemplo, correo electrónico, mensajes de texto o sitios web ficticios) para hacerse pasar por una fuente de confianza para robar las credenciales de una persona. 

Y como se señaló anteriormente, con las claves de acceso, las organizaciones pueden aprovechar la tecnología existente que los consumidores conocen y utilizan a diario. Un enfoque estandarizado permite a los consumidores que utilizan dispositivos en el ecosistema de Apple, Google o Microsoft crear y acceder a una clave de acceso de la misma manera que desbloquean sus dispositivos. 

Analicemos los beneficios de seguridad y experiencia del usuario con más detalle. 

Beneficios de seguridad

  • Resistente al phishing: CNBC informó un aumento del 61% en los ataques de phishing en 2022. Las passkeys bloquean los ataques de ingeniería social porque solo funcionan para el sitio web para el que fueron creadas. 
  • Más seguro contra las filtraciones de datos: Las bases de datos son un objetivo principal para los ciberdelincuentes porque frecuentemente almacenan contraseñas y otros datos personales. Dado que no se comparte ningún secreto compartido (una contraseña), los servidores de tu organización se convierten en un objetivo menos atractivo para los malos actores que buscan robar credenciales de clientes.
  • Fuerte por defecto: A diferencia de las contraseñas, las passkeys son siempre fuertes, nunca pueden ser adivinadas o vistas, lo que las hace menos susceptibles a los ataques de ingeniería social.

Beneficios de la experiencia del usuario  

  • Creación de cuentas sin contraseña: Las passkeys pueden mejorar las tasas de conversión al hacer que el recorrido de “usuario desconocido” a “cliente conocido” no requiera contraseña. Datos de Google muestran que los usuarios que se autentican con claves de acceso tienen cuatro veces más probabilidades de convertirse. 
  • Escalable en todos los dispositivos: Los consumidores tienen más de una forma de interactuar con su marca. Las passkeys permiten un acceso perfecto al permitir que los consumidores usen la misma passkey en múltiples dispositivos dentro de un ecosistema dado. A diferencia de las contraseñas, crean una passkey una vez y pueden usarla en todas partes. 
  • Menos contraseñas, menos razones para abandonar: El 83% de los clientes abandonan la creación de cuentas debido a las tediosas políticas de contraseñas. Con las passkeys, puedes mejorar la participación y la retención de usuarios eliminando la engorrosa (e insegura) necesidad de escribir una cadena de caracteres.

Las passkeys impulsan la flexibilidad

Recapitulemos: 

  • Las passkeys son un reemplazo de contraseña de la FIDO Alliance 
  • Eliminan la necesidad de recordar contraseñas complejas 
  • Permitir a los usuarios iniciar sesión de la misma manera que desbloquean sus dispositivos móviles
  • Aumente la seguridad siendo más resistente al phishing 
  • Y, reducir la fricción de inicio de sesión para impulsar la conversión 

Esta es la razón por la que el mundo de la seguridad está tan entusiasmado con las passkeys.

Pero no son toda la historia. Si bien nosotros y muchos otros estamos entusiasmados con el potencial de las claves de acceso, las empresas deben encontrar a sus clientes donde están. Ser capaz de atender de manera flexible a un conjunto diverso de necesidades es fundamental. 

Proveedores de servicios como Apple y Google han incorporado flexibilidad al inicio de sesión con sus productos. Con las passkeys habilitadas dentro de una plataforma CIAM sólida, puede ofrecer una flexibilidad similar, en todos los dispositivos y plataformas.

Nuestro objetivo es continuar apoyando un conjunto más amplio de requisitos que ayuden a las empresas a permitir que sus clientes se autentiquen de una manera que tenga sentido para ellos. De manera inmediata, Okta admite múltiples formas de autenticación (incluidas las claves de acceso) junto con los valores centrales que se esperan de una plataforma Customer Identity en autorización, administración de usuarios y seguridad de la identidad. Combinado con la extensibilidad de nuestra plataforma y la facilidad de implementación, Okta Customer Identity Cloud brinda a los desarrolladores y a los equipos digitales las herramientas que necesitan para conocer, proteger y generar alegría al usuario.

¿Tienes curiosidad por saber más sobre cómo tu organización puede utilizar CIAM para asegurar un futuro sin contraseñas con passkeys? Ponte en contacto para obtener más información.

– 

Para documentos con conceptos legales/de privacidad o consejos de privacidad/seguridad:

Estos materiales y cualquier recomendación contenida en ellos no constituyen asesoramiento legal, de privacidad, de seguridad, de cumplimiento o empresarial. Estos materiales tienen únicamente fines informativos generales y pueden no reflejar los avances más recientes en materia de seguridad, privacidad y leyes, ni todos los aspectos relevantes. Es tu responsabilidad obtener asesoramiento legal, de seguridad, de privacidad, de cumplimiento o empresarial de tu propio abogado u otro asesor profesional, y no debes confiar en las recomendaciones que aquí se ofrecen. Okta no es responsable ante ti por cualquier pérdida o daño que pueda resultar de tu implementación de cualquier recomendación en estos materiales. Okta no ofrece representaciones, garantías u otras seguridades con respecto al contenido de estos materiales. La información sobre las garantías contractuales de Okta a sus clientes se puede encontrar en okta.com/agreements.

Acerca del autor

Salman Ladha

Senior Product Marketing Manager

Salman is Senior Product Marketing Manager at Okta, focused on communicating the value of Customer Identity as part of the digital experience. In a career that spans Auth0 (now Okta Customer Identity Cloud), Vidyard and Unbounce, Salman has helped emerging and enterprise companies improve customer acquisition, retention, and loyalty using SaaS marketing technologies in their go-to-market strategies. Outside Okta, he enjoys reading, working out, and catching the latest Marvel movie.

Continúe con su recorrido de identidad

Póngase manos a la obra con la prueba gratuita hoy mismo o póngase en contacto con nuestro equipo para analizar sus necesidades únicas.

Comenzar
Hablemos