Inicio / Apple / How-To
How-To

Cómo usar llaves de acceso (passkeys) en tu iPhone, iPad y Mac

Apple añadirá un sistema más robusto de inicio de sesión con la llegada de las nuevas versiones de sus sistemas operativos
Por Alfonso Casas y Glenn Fleishman
Macworld JUL 10, 2023 2:48 am PDT
Usuario de MacBook con Passkeys
Imagen: Foundry

Las llaves de acceso, o passkeys en inglés, son un proceso simplificado de inicio de sesión en sitios web que llegó a finales del pasado año con las versiones de macOS 13 Ventura, iOS 16 y iPadOS 16.

Las llaves de acceso se basan en los estándares de la industria para que puedas iniciar sesión de forma cifrada en tus dispositivos sin apenas esfuerzo tras haber llevado a cabo previamente la configuración inicial.

Puedes probar una llave de acceso sin instalar las betas públicas de estos próximos sistemas operativos, ya que Apple incorporó la compatibilidad con llaves de acceso en forma de vista previa en Safari en todos sus sistemas operativos en iOS 15, iPadOS 15 y Safari 15 con macOS 12 Monterey.

Con el lanzamiento final de las llaves de acceso previsto para las próximas semanas o meses, y el soporte anunciado por parte de Google y Microsoft para que sean compatibles, es probable que veas opciones para agregar un inicio de sesión con llave de acceso en muchos sitios web a lo largo del último trimestre del año.

Vamos a ver cómo funciona todo el proceso.

Cómo funciona con tu ID de Apple

A partir de las versiones de iOS 17 y macOS 14 Sonoma, el ID de Apple será compatible con la autenticación de llave de acceso. En cualquier lugar donde necesites iniciar sesión con tu ID de Apple, incluidos sitios web e icloud.com, tendrás dos opciones para iniciar sesión: con una contraseña estándar, o pulsando el botón “Continuar con Apple” que mostrará un código QR que se puede escanear con la cámara de tu iPhone para crear el código único.

Inscribirse en un sitio web

Una llave de acceso comprende un conjunto de claves cifradas emparejadas, conocido generalmente como criptografía de clave pública.

Cuando visites un servidor compatible con WebAuthn (la tecnología necesaria para aceptar, almacenar e interactuar con una llave de acceso), tu navegador presentará la clave pública del par de cifrado.

La llave pública no puede utilizarse para iniciar sesión, sino para probar la identidad: puedes tener la llave privada, que se crea en tu dispositivo y nunca sale de él para iniciar sesión.

Para inscribirte, debes visitar un sitio web que ofrezca soporte con las llaves de acceso. Un sitio puede decir que admite llaves de acceso de forma genérica, que admite WebAuthn, o que es compatible con FIDO2, CTAP o “credenciales FIDO multidispositivo”.

Todos estos términos deberían significar que puedes utilizar una contraseña de Apple (o Google, o Microsoft) como credencial de inicio de sesión. (FIDO2 es el nombre dado por el grupo comercial FIDO Alliance, pieza clave para hacer realidad las Passkeys y WebAuthn, y del que Apple, Microsoft y Google son miembros).

El proceso funciona de forma muy similar a cuando te registras en un sitio para la autenticación de doble factor (2FA) o si has utilizado previamente una llave hardware para WebAuthn, como las comercializadas por Yubico:

  1. Inicia sesión con tu nombre de usuario y contraseña actuales.
  2. Es posible que el sitio te solicite una verificación adicional. Puede tratarse de un enlace enviado por correo electrónico, un código enviado por SMS, o una solicitud de confirmación 2FA con un código a través de una aplicación que ya tengas instalada en tu iPhone o iPad.
  3. La sección de seguridad del sitio te permite elegir entre utilizar una contraseña o uno de los nombres alternativos anteriores.
  4. El servidor web envía una solicitud a tu navegador para que proporcione información de cifrado.
  5. El sistema te pedirá que apruebes esta solicitud con Touch ID, Face ID o la contraseña de tu dispositivo, dependiendo de lo que esté disponible y activado.
  6. Si validas correctamente tu identidad, tu dispositivo genera el par de llaves pública/privada. La llave privada se almacena en tu dispositivo y nunca se envía al sitio remoto.
  7. Tu navegador envía la clave pública junto con un mensaje firmado criptográficamente que el servidor puede validar utilizando la clave pública proporcionada: solo alguien cuyo dispositivo posea la llave privada puede producir un mensaje verificable.
  8. El servidor web almacena su llave pública para sus futuros inicios de sesión.
Touch ID para asociarlo a Security Key
Como parte del proceso de registro, usted valida que desea que el sitio web pueda utilizar Touch ID (u otro elemento de autenticación).

Configurar un inicio de sesión con llave de acceso, puede desactivar el factor de doble autenticación 2FA en tu cuenta o permitirte optar por un inicio de sesión con clave de acceso en lugar de una vía 2FA.

Una llave de acceso proporciona una prueba de posesión tanto de un secreto como del dispositivo en el que está almacenado, es decir, dos factores. (Algunos sitios y servicios de mayor seguridad pueden seguir exigiendo 2FA en lugar o además de una clave de acceso).

En Webauthn.me, un sitio creado por Auth0, proveedor de servicios de autenticación, puedes ver el proceso de llave de acceso en funcionamiento con algunas de las piezas técnicas subyacentes expuestas.

Algunos sitios de producción ofrecen actualmente inicios de sesión compatibles con llave de acceso, pero por el momento son muy pocos. Puedes configurar una cuenta de Google o Dropbox para que utilice una “clave de seguridad” y usar una contraseña en su lugar.

A continuación, te cuento mi experiencia vivida.

Iniciar sesión con una clave de acceso

En un sitio web en el que te hayas registrado, puedes utilizar una llave de acceso almacenada la siguiente vez que necesites iniciar sesión. Puede que hayas notado que muchos sitios web han empezado a separar el envío del nombre de usuario o del correo electrónico de la cuenta, del envío de la contraseña, lo que parece ser una preparación para las llaves de acceso.

Con un sitio totalmente preparado para llaves de acceso, tocarás o harás clic en un campo de nombre de usuario o correo electrónico de la cuenta y Safari te pedirá que valides un inicio de sesión con clave de acceso.

En algunos casos, Safari puede preguntarte primero si quieres permitir el ingreso con Touch ID o ‘clave de seguridad’ en el sitio; haz clic en ‘Permitir para continuar’.

A continuación, puedes autenticarte mediante Touch ID, Face ID o la contraseña de tu dispositivo, igual que durante la inscripción. ¡Eso es todo!. Usando el sitio Webauthn.me indicado anteriormente, puedes probar esto en el Paso 4 del proceso.

Inicios de sesión seguros
Es posible que se te pida que permitas inicios de sesión seguros en un sitio antes de que puedas iniciar sesión por primera vez después de la inscripción con una llave de acceso
Uso de contraseñas con Webauthn.me
Las contraseñas mantienen las entradas con llave de acceso a partir de las versiones del sistema operativo de este otoño

En algunos sitios que admiten WebAuthn pero que aún no están totalmente alineados con el proceso simplificado de llaves de acceso, es posible que se te pida que realices un inicio de sesión normal con nombre de usuario y contraseña antes de que el sitio inicie la secuencia que solicita una clave de acceso a tu navegador.

Pude inscribirme con una clave de acceso en Dropbox eligiendo la opción ‘Clave de seguridad’ y siguiendo las indicaciones de Safari para macOS.

(Cuando hayas iniciado sesión en Dropbox a través de Safari, haz clic en tu avatar en la esquina superior derecha, haz clic en el enlace ‘Seguridad’ y haz clic en ‘Añadir’ junto a ‘Claves de seguridad’. Cuando te pregunte si has insertado la clave, confirma que lo has hecho).

Los inicios de sesión posteriores funcionaban en Safari para macOS pero no en Safari para iOS, probablemente debido a la falta de compatibilidad con la sincronización de llaveros de iCloud antes del lanzamiento de los nuevos sistemas operativos.

En iOS 16, iPadOS 15 y Ventura, con iCloud Keychain activado, las contraseñas se sincronizarán y aparecerán en ‘Ajustes > Contraseñas’ en iOS/iPadOS y en ‘Ajustes del sistema’ > ‘Contraseñas’ en macOS Ventura.

Apple te permitirá compartir claves con otros usuarios de Apple enviándolas de forma segura a través de AirDrop. Esto compartirá tanto la clave pública, como la privada y dará a las personas el mismo grado de acceso a la cuenta que si les hubieras dado el nombre de usuario, la contraseña y el token de doble factor de tu cuenta.

Inicio de sesión desde otros dispositivos

Algunos sitios te permitirán especificar un inicio de sesión con clave como único método para obtener acceso. Entonces, ¿qué ocurre si intentas iniciar sesión desde un dispositivo que no tiene almacenada tu clave de acceso, como un ordenador familiar, un dispositivo en el trabajo, o uno al que tienes acceso mientras viajas?

Si necesitas utilizar un ordenador Windows o un teléfono móvil Android para acceder a un sitio debido a características específicas de esas plataformas, debes saber que Apple mostró un enfoque inteligente en su presentación de las llaves de acceso que llevó a cabo en la Conferencia Mundial de Desarrolladores, la WWDC 2023, en el que se requiere un código QR y Bluetooth.

El proceso funciona de la siguiente manera:

  1. En un dispositivo con un sistema operativo o navegador lo suficientemente nuevo como para admitir inicios de sesión WebAuthn, introduce en el sitio web tu nombre de cuenta con el que utilices una clave de acceso.
  2. El sitio consultará al navegador en busca de una clave de acceso, y el navegador descubrirá que no tienes ninguna. A continuación, puedes hacer ‘clic’ para proporcionar una clave de acceso a través de un proxy, por ejemplo, haciendo clic en ‘Añadir un nuevo teléfono’.
  3. El sitio envía una consulta que hace que el navegador muestre un código QR.
  4. En tu iPhone o iPad, escanea el código QR y pulsa la opción ‘Iniciar sesión con una llave de acceso’.
  5. En tu dispositivo, pulsa ‘Continuar’ y, a continuación, aprueba el inicio de sesión con Touch ID, Face ID o la contraseña de tu dispositivo.
  6. El navegador muestra que has iniciado sesión.
Autenticación con Apple Passkeys
En un dispositivo que no tenga tu llave de acceso, un código QR emparejado con Bluetooth permitirá un inicio de sesión seguro que no revele tus secretos ni permita la suplantación de identidad

Apple

Durante este proceso, el dispositivo en el que se muestra el código QR y tu iPhone o iPad establecen silenciosamente una conexión por Bluetooth e intercambian información clave.

Esto permite que tu dispositivo tenga la seguridad de que el inicio de sesión se está produciendo utilizando un equipo que está cerca para evitar ataques remotos, y el canal de retorno Bluetooth será un canal cifrado independiente de la conexión del navegador, evitando ataques de phishing que presentan inicios de sesión falsos.

Una vez autenticado el inicio de sesión en el otro dispositivo, la sesión continúa normalmente. Asegúrate de cerrar la sesión cuando hayas terminado para borrar el estado.

El futuro son las llaves de acceso

La sencillez de las llaves de acceso esconde su sofisticación. Por primera vez, parece que conseguimos facilidad de uso sin sobrecarga para gestionar el proceso, y el mayor nivel de seguridad posible.

Cada inicio de sesión es único, se almacena para ti y se verifica en ambas direcciones -por tu dispositivo y por el sitio- para garantizar que sólo la persona con acceso al dispositivo puede iniciar sesión.

Es posible que te interese echar un vistazo al artículo sobre los mejores gestores de contraseñas para Mac.

Artículo original publicado en la edición en inglés de Macworld.com.