Esta receta forma parte de la serie Aprende CIAM con ejemplos: Cuatro recetas para mejorar la seguridad y la experiencia de usuario de tus aplicaciones. Puedes obtener más información sobre la serie descargando nuestras cuatro recetas en formato de libro de cocina. En esta receta, aprenderás cómo agregar autenticación sin contraseña a tu aplicación mediante passkeys. |
Los vectores de ataque son cada vez más sofisticados y las contraseñas no son el único objetivo fácil para el comportamiento malicioso.
Los consumidores, los legisladores y las organizaciones son cada vez más conscientes de la focalización maliciosa con IA para el phishing, o para convencer fraudulentamente a una parte de que comparta información confidencial.
Por ejemplo, si se filtra el número de un usuario, los actores maliciosos pueden implementar un bot para acosarlo a él con una ráfaga de notificaciones push a través de sus dispositivos registrados, para presionarlo a autorizar una transacción, o incluso redirigirlo con un código QR a una página de proveedor falsa para iniciar sesión y robar aún más datos.
Las tácticas de phishing incluyen, entre otras, la implementación de malware, la supervisión de spyware y la apropiación de cuentas para engañar a los usuarios para que compartan más datos personales que puedan ser objeto de abusos repetidos.
¿Qué es una passkey?
Una passkey es un par de claves: una para ti que es pública y otra para tu usuario conocido que es privada y que nunca ves.
Los usuarios pueden contar con la clave privada de su clave de acceso para autorizar cualquier canal con una clave pública asociada, lo que significa que sus usuarios nunca tienen que configurar la biometría directamente con usted, sino que se benefician de la reutilización de su biometría existente en sus servicios y servicios asociados.
Los desarrolladores pueden estar tranquilos sabiendo que los actores maliciosos no pueden hacer nada con su clave pública alojada porque no hay información de perfil del consumidor ni credenciales asociadas con una clave pública; solo una clave privada autorizada por el usuario puede vincularse con la clave pública para otorgar acceso.
Con las llaves de acceso (passkeys), las organizaciones pueden permitir que los consumidores inicien sesión en todas las redes utilizando la tecnología móvil existente de su smartphone, lo que hace posible la autenticación en casi cualquier lugar utilizando la misma biometría o PIN que utilizan para desbloquear sus dispositivos.
¿Por qué las claves de acceso están tan de moda en este momento?
Los clientes quieren pasar menos tiempo iniciando sesión.
La forma en que enviamos mensajes de texto, hacemos llamadas e incluso publicamos actualizaciones en las redes sociales es la misma tecnología que los proveedores de servicios como Apple y Google han incorporado a sus productos para que sea más fácil y rápido iniciar sesión en sus ecosistemas.
Ahora, las organizaciones pueden crear sus propios ecosistemas de proveedores y ofrecer a los usuarios formas más seguras de iniciar sesión y gestionar sus datos sin contraseña. Las passkeys también pueden acelerar la autenticación en 2.6 veces en tu plataforma.
Las passkeys ofrecen una mejor experiencia de usuario que brinda a las organizaciones más control sobre sus propiedades digitales en todos los sistemas y dispositivos, con el beneficio adicional para los usuarios de evitar las contraseñas por completo.
Fundamentalmente, las passkeys hacen felices a los consumidores porque pueden cambiar de dispositivo en diferentes contextos y entornos y mantener una experiencia perfecta, y las organizaciones pueden impulsar su embudo.
Si bien puede parecer intimidante agregar otra credencial digital a la lista, las passkeys están respaldadas por sólidos estándares criptográficos que valen la pena, y cualquier organización puede agregar passkeys a su estrategia anti-phishing con Auth0 by Okta.
Receta
Ingredientes:
- Un inquilino de Auth0
- Una aplicación de muestra para probar el registro, el inicio de sesión y el cierre de sesión
Las passkeys son muy fáciles de configurar. Con solo unos pocos pasos en el panel de Auth0, tu Nuevo inicio de sesión universal alojado en la nube actualizará el resto, con passkeys disponibles para todos los usuarios.
- Navega a Authentication > Authentication Profile y selecciona Identifier First
- Navegue a Autenticación > Base de datos y seleccione Crear conexión DB. Nómbrela "Passkeys" y haga clic en Crear. Seleccione la pestaña Authentication Methods (Métodos de autenticación) en la siguiente pantalla y active Passkey
- ¡Y eso es todo! Cuando vayas a iniciar sesión o registrarte, verás la llave de acceso (passkey) como una opción, con todas las mejores prácticas de UX y autenticación segura integradas.
Passkeys: La seguridad amigable para el cliente.
Las passkeys facilitan a los usuarios el tránsito seguro por múltiples redes y canales porque las passkeys atraviesan múltiples redes de proveedores sin compartir credenciales, incluidas las contraseñas.
Las claves de acceso nunca se comparten fuera de su dispositivo o servicios y capturan el consentimiento de un usuario (tocando dos veces el botón lateral) para acceder a sus propiedades digitales sin ingresar una contraseña.
Vinculado al software
Las passkeys pueden autenticar a los usuarios sin contraseñas en todos los dispositivos y servicios para continuar transmitiendo tu programa favorito desde tu teléfono inteligente a tu tableta.
Digamos que su usuario se registró en su servicio de transmisión con sus credenciales de Google, pero usa su ID de Apple para todo lo demás porque tiene un iPhone y un iPad.
La passkey de un iPhone de un usuario se puede usar (con su consentimiento) para crear una passkey para ese servicio de transmisión en su iPad para su cuenta de Google, sin ninguno de los pasos que implican la inscripción biométrica normal y el intercambio entre proveedores, que se reemplazan por una passkey sincronizada.
Vinculado al dispositivo
El hardware de la clave de acceso, como una YubiKey, es el estándar de oro para la resistencia al phishing y la seguridad disponible para el consumidor. De hecho, cuando se realiza a través de la comunicación de campo cercano, es la forma más segura de usar una clave de acceso porque la clave de acceso nunca sale del dispositivo y el uso de un dispositivo físico permite la prueba de presencia.
Se puede utilizar una passkey enlazada al dispositivo para realizar la autenticación entre dispositivos en proximidad entre sí, y sincronizar, iniciar sesión (y comenzar a transmitir) instantáneamente entre dispositivos, y se considera el patrón de passkey más seguro.
Las marcas pueden proteger sus perímetros fomentando el uso de hardware de llaves de acceso y, como un gigante de los medios, ven tasas de conversión más altas y una disminución drástica en las solicitudes de servicio de cuentas, todo mientras se protegen contra la actividad maliciosa y brindan una experiencia segura y sin fricciones que los consumidores aman.
Para obtener más información sobre las claves de acceso vinculadas al dispositivo, consulte nuestra publicación sobre cómo configurar con Auth0.
¿Qué sigue?
¡Felicitaciones por agregar la función sin contraseña a tus aplicaciones con las llaves de acceso (passkeys)! ¡Ahora, estamos listos para verificar la privacidad de los datos! Para proteger completamente la información de tus clientes y cumplir con las regulaciones como GDPR, HIPAA y CCPA, tu aplicación necesita ofrecer funciones adicionales como el consentimiento del usuario, la auditoría de datos y un centro de preferencias.
En nuestra próxima receta, profundizaremos en los elementos esenciales para alinear su aplicación con la privacidad de los datos. Para obtener todas las recetas en una guía completa, descargue nuestro libro de cocina.
