Passkeys de Finom: Revolucionando la seguridad bancaria

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

La banca moderna necesita la mejor seguridad posible y, al mismo tiempo, facilitar la vida de los clientes. Por eso Finom, una fintech pionera con sede en Ámsterdam, ha dado un importante salto adelante al introducir las passkeys como su nuevo método de autenticación principal para su aplicación web. Como testimonio de su innovación, la implementación de passkeys de Finom no solo desafía el paradigma tradicional de las contraseñas (+ la MFA tradicional mediante OTP por SMS), sino que también se alinea con la creciente demanda de experiencias de usuario más seguras, cómodas y centradas en la privacidad. Este artículo profundiza en la configuración técnica y los beneficios para el usuario final de la implementación de passkeys de Finom, ofreciendo una visión de por qué este enfoque podría anunciar una nueva era para las passkeys en la banca y los servicios financieros.

Las passkeys representan un cambio de paradigma en la autenticación, abandonando los sistemas vulnerables basados en contraseñas por una autenticación más segura y resistente al phishing. La aplicación web de Finom adopta esta tecnología, permitiendo a los usuarios autenticarse a través de varios dispositivos: ordenadores, smartphones o llaves de seguridad de hardware (por ejemplo, YubiKeys), soportando así también autenticadores multiplataforma / itinerantes.

Finom has introduced passkeys

Join them

Finom garantiza una amplia accesibilidad al alinearse con los estándares de la industria en cuanto a compatibilidad de navegadores y sistemas operativos. Las siguientes versiones de navegadores son compatibles con las passkeys (según las preguntas frecuentes oficiales sobre passkeys de Finom):

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

A diferencia de lo que indican las preguntas frecuentes oficiales sobre passkeys de Finom, la autenticación con passkey también funcionó durante nuestras pruebas en la última versión de Firefox (v122) en Windows 11 23H2 y macOS Sonoma 14.2.1.

En cuanto a la compatibilidad con sistemas operativos en general, para dispositivos de escritorio, probamos la autenticación con passkey con éxito en Windows 11 y macOS Sonoma (no se especifica una versión mínima del sistema operativo en las preguntas frecuentes).

Los usuarios de dispositivos móviles deben asegurarse de que sus sistemas estén actualizados a iOS 16+ o Android 9+ para una compatibilidad total con las passkeys. Lo bueno es que la mayoría de los dispositivos móviles (más del 94 %) ya son compatibles con las passkeys.

El proceso de creación de passkeys en Finom admite todo el espectro de passkeys, empleando diversos modos de transporte, como USB, NFC, BLE, híbrido e interno. Esta flexibilidad garantiza que los usuarios tengan múltiples opciones de autenticación, adaptándose a sus preferencias personales o necesidades del momento.

Algunos aspectos a destacar de la configuración del servidor WebAuthn y del análisis más profundo de las PublicKeyCredentialCreationOptions:

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• Uso del parámetro excludeCredentials para evitar la creación de una nueva passkey en un dispositivo que ya tiene otras.
• ID de la parte de confianza (Relying Party ID) establecido en app.finom.co para garantizar una autenticación segura y específica del dominio.
• La atestación directa (direct attestation) requiere que los dispositivos proporcionen declaraciones de atestación, demostrando así la autenticidad de las credenciales de autenticación.
• Se requiere la verificación del usuario (userVerification), lo que garantiza que solo el usuario legítimo pueda iniciar el proceso de autenticación.
• Se desaconseja el uso de claves residentes (residentKeys), ya que la UI condicional (Conditional UI) aún no se ha implementado. Sin embargo, el comportamiento de la creación de passkeys depende en gran medida de si los autenticadores tienen en cuenta el valor de residentKeys (consulta este artículo). Además, a Finom le beneficiaría crear ya claves residentes para un futuro soporte de UI condicional. Por otro lado, esta decisión ahorra espacio de almacenamiento en las llaves de seguridad de hardware (por ejemplo, YubiKeys), que a menudo solo tienen una capacidad limitada para claves residentes.

Las PublicKeyCredentialRequestOptions son igualmente importantes, ya que facilitan el proceso de autenticación con configuraciones que garantizan flexibilidad y seguridad:

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• Se establecen las allowCredentials (todas las credenciales se configuran independientemente del dispositivo que el usuario utilice como cliente) para asegurar que solo se puedan usar passkeys registradas.
• Se desaconseja la verificación del usuario (userVerification), lo cual es interesante en la ceremonia de inicio de sesión, ya que es obligatoria en la ceremonia de creación de la passkey.

Un aspecto innovador de la implementación de passkeys de Finom es el potencial para compartir passkeys entre dispositivos. Al analizar los archivos de asociación proporcionados en https://app.finom.co/.well-known/assetlinks.json para Android y https://app.finom.co/.well-known/apple-app-site-association para iOS, se hace evidente que Finom está sentando las bases para una integración fluida de passkeys en sus aplicaciones web y móviles nativas. Añadir soporte para compartir entre dispositivos, por ejemplo, usando tu passkey de macOS de la aplicación web también en la aplicación nativa de iOS a través de la sincronización del Llavero de iCloud, se puede añadir rápidamente. Esta iniciativa promete mejorar aún más la experiencia del usuario al permitir una autenticación sin esfuerzo en diferentes plataformas y dispositivos.

En el corazón de la implementación de passkeys de Finom se encuentra el compromiso de priorizar tres aspectos fundamentales: seguridad inigualable, simplicidad sin precedentes y privacidad de datos sin concesiones.

• Seguridad: El sistema de passkeys de Finom está diseñado para establecer una barrera contra las ciberamenazas. A diferencia de las contraseñas convencionales, las passkeys están conectadas de forma segura al dispositivo del usuario y al dominio verificado de Finom, eliminando virtualmente el riesgo de phishing y acceso fraudulento.
• Simplicidad: La simplicidad en la autenticación con passkey de Finom se refleja en su proceso de inicio de sesión instantáneo. Usando Face ID, Touch ID o Windows Hello, los usuarios pueden acceder a sus cuentas en cuestión de segundos, sin la molestia de teclear contraseñas complejas. Este proceso de autenticación optimizado no solo mejora la comodidad del usuario, sino que también reduce significativamente los tiempos de inicio de sesión, estableciendo un nuevo estándar de facilidad de acceso en la industria bancaria.
• Privacidad de datos: Finom da la máxima prioridad a la privacidad y seguridad de los datos del usuario. Al emplear un sistema en el que las passkeys permanecen vinculadas al dispositivo del usuario, Finom garantiza que la información personal, incluidos los datos biométricos, permanezca bajo el control del usuario y nunca se comparta con el servidor. Este enfoque no solo protege la privacidad de los usuarios, sino que también les da la confianza de que su información personal y financiera está protegida contra accesos no autorizados y brechas de seguridad.

En dispositivos nuevos, el usuario debe confirmar la creación de la passkey ya sea en la aplicación nativa de Finom para iOS / Android mediante una notificación push o usando un enlace mágico por correo electrónico. Hasta que no se proporcione la confirmación, el usuario no puede crear una passkey.

Confirma la solicitud de creación de passkey por correo electrónico:

Alternativamente, puedes confirmar la solicitud de creación de passkey mediante una notificación push (aquí, la aplicación nativa de Android):

Tras la creación exitosa de la passkey, verás esta ventana emergente:

Finom simplifica la experiencia de inicio de sesión haciendo que las passkeys sean el método de autenticación por defecto (passkey-first) una vez que el usuario introduce su dirección de correo electrónico y hace clic en Continuar (el campo de la contraseña no se muestra por defecto). Este enfoque directo mejora la experiencia del usuario al eliminar opciones innecesarias y restar prioridad a las contraseñas. Sin embargo, la ausencia de UI condicional marca un área potencial de mejora futura.

Al cancelar el flujo de inicio de sesión con passkey en la ventana emergente de la passkey, el usuario recibe la siguiente advertencia:

Si el usuario decide hacer clic en Reintentar, el flujo de inicio de sesión con passkey comienza de nuevo y aparece la ventana emergente de passkeys (por ejemplo, Face ID, Touch ID, Windows Hello), permitiendo al usuario escanear sus datos biométricos de nuevo.

Si el usuario decide hacer clic en Probar de otra manera, se le redirige al antiguo inicio de sesión con los campos de dirección de correo electrónico y contraseña:

Finom desaconseja encarecidamente el uso de dispositivos no privados o de acceso público para la autenticación con passkeys (por ejemplo, en bibliotecas públicas). El riesgo inherente a dichos dispositivos radica en su accesibilidad; cualquiera que pueda desbloquear el dispositivo (ya sea mediante una contraseña, un bloqueo de pantalla o datos biométricos como huellas dactilares o reconocimiento facial registrados en el dispositivo) tiene el potencial de autenticarse como tú y acceder a tu cuenta.

Aceptando la realidad multidispositivo de los usuarios de hoy en día, Finom admite la autenticación entre dispositivos (transporte híbrido) mediante el escaneo de códigos QR y comprobaciones de proximidad por Bluetooth. Esta función permite una experiencia de autenticación fluida entre diferentes dispositivos, facilitando un inicio de sesión sin interrupciones desde una passkey almacenada en un dispositivo móvil mientras se intenta acceder a Finom desde un entorno de escritorio (consulta también este artículo para más detalles sobre la autenticación entre dispositivos con passkeys).

Finom ha introducido funciones intuitivas de gestión de passkeys que permiten a los usuarios personalizar y controlar sus métodos de autenticación. Estas funciones, incluida la capacidad de renombrar y eliminar passkeys, reflejan una profunda comprensión de la necesidad de flexibilidad y seguridad en la gestión del acceso digital.

• Múltiples passkeys para diferentes dispositivos: Finom recomienda la creación de múltiples passkeys en los dispositivos de los usuarios. Este enfoque garantiza un acceso ininterrumpido a los servicios de Finom a través de passkeys, atendiendo a una experiencia multidispositivo sin fisuras.
• Prevención inteligente de duplicados: Aprovechando el parámetro excludeCredentials en las PublicKeyCredentialCreationOptions, Finom evita la creación de passkeys duplicadas en el mismo dispositivo. Esta medida no solo mejora la seguridad, sino que también agiliza la experiencia del usuario al garantizar que cada dispositivo tenga una passkey única.
• La eliminación de passkeys requiere autenticación con passkey: Antes de eliminar una passkey, los usuarios deben autenticar la acción utilizando una passkey. Esta capa adicional de seguridad subraya la importancia que Finom otorga a la protección del acceso del usuario y garantiza que solo el propietario legítimo pueda realizar cambios tan significativos.

Ten en cuenta que la lógica de detección de iconos no es tan inteligente como podría parecer a primera vista. Guardé las passkeys para el Administrador de contraseñas de Google en mi Android, sin embargo, se muestra como Windows. Lo mismo se aplica a los autenticadores multiplataforma / itinerantes como las YubiKeys, que por naturaleza no están vinculados a un sistema operativo determinado.

Tras la creación exitosa de una passkey, el usuario recibirá una notificación por correo electrónico:

En caso de que el usuario tenga que restablecer su contraseña, no solo se elimina la vinculación del dispositivo de la aplicación nativa de iOS / Android, sino que también se eliminan todas tus passkeys. Para ser más precisos, las claves públicas de las passkeys se eliminan del lado del servidor, lo que hace imposible iniciar sesión con passkeys (incluso después de haber restaurado la vinculación del dispositivo). Las claves privadas de la passkey residen en el dispositivo, pero son inútiles para intentos de inicio de sesión posteriores.

La implementación de passkeys de Finom no solo busca mejorar la seguridad y la experiencia del usuario; es un movimiento estratégico hacia el ahorro de costes de los sistemas tradicionales de OTP por SMS y para posicionarse como una fintech moderna y digital que confía en poder competir con los bancos e instituciones financieras tradicionales. El diseño actual del sistema es prometedor, con margen para expandirse al soporte de aplicaciones nativas, la implementación de UI condicional y las confirmaciones de transacciones mediante passkeys.

Al alejarse de los OTP por SMS, un método históricamente plagado de brechas de seguridad, Finom sienta las bases para obtener importantes beneficios en su estrategia de autenticación y MFA. Esta transición no solo mitiga los riesgos asociados con los OTP por SMS, sino que también se alinea con la misión de Finom de aprovechar la tecnología de vanguardia para proteger los datos de los usuarios, mejorar la experiencia de usuario bancaria y ahorrar costes sustanciales en MFA a través de OTP por SMS.

Durante nuestras pruebas, identificamos algunas áreas importantes de mejora:

• Ampliar el soporte de passkeys a las aplicaciones nativas: Reconociendo la ubicuidad de la banca móvil, esperamos que Finom implemente pronto el soporte de passkeys en sus aplicaciones nativas de iOS y Android, lo que también se adheriría a su estrategia "mobile-first". Como usuario, especialmente viniendo de un dispositivo de escritorio macOS, el inicio de sesión en la aplicación de iOS de un iPhone usando el mismo Llavero de iCloud conectado puede simplificarse sustancialmente en comparación con la experiencia de inicio de sesión actual.
• Autenticación solo con passkey: Con el tiempo, también esperamos que Finom promueva las passkeys como el primer y único factor en los dispositivos compatibles con passkeys. Esto también incluye la creación de nuevas cuentas con passkeys como única forma de autenticación (con algunas alternativas como respaldo).
• Implementación de UI condicional: La introducción de la UI condicional sería otra gran optimización para la experiencia del usuario que ha demostrado ser un gran éxito para la adopción de passkeys en otros actores.
• Usar passkeys para la confirmación de pagos: Durante nuestras pruebas, también realizamos un pago de prueba para verificar si la confirmación del pago también funciona con passkeys. Sin embargo, Finom todavía utiliza notificaciones push de la aplicación nativa y OTP por SMS para la confirmación (siendo este último un importante generador de costes). Esto podría deberse a fines regulatorios, pero esperamos que las passkeys también puedan emplearse aquí en el futuro.

Become part of our Passkeys Community for updates & support.

Join

Una pregunta aún queda sin respuesta en la estrategia de passkeys de Finom: ¿Cuál es la postura de Finom sobre el cumplimiento de la PSD2 y la SCA con passkeys? Este tema generalmente no se ha abordado por completo, pero habría sido interesante conocer más sobre la perspectiva de Finom en este asunto. Para más información y reflexiones sobre el cumplimiento de la PSD2 con passkeys, consulta este artículo del blog.

La implementación de passkeys de Finom es un excelente ejemplo para el sector bancario y de servicios financieros, demostrando cómo las fintech pueden liderar la adopción de medidas de seguridad avanzadas que satisfacen las necesidades de los usuarios modernos. Al proporcionar un análisis detallado del sistema de passkeys de Finom, este artículo del blog tiene como objetivo ayudar a otros desarrolladores de software, gerentes de producto y especialistas en seguridad a aprender sobre la implementación de passkeys en el sector financiero y bancario.