¿Funcionan las passkeys en modo incógnito?

Cada vez más empresas están implementando passkeys en sus sitios web y aplicaciones. Al hacerlo, muchos desarrolladores de software y product managers se preguntan si las passkeys funcionan en los modos de navegación de incógnito o privados, ya que esto tiene una gran influencia en la experiencia general del usuario.

Con esta entrada de blog, intentamos responder a las siguientes preguntas:

1. ¿Funcionan las passkeys en modo de navegación de incógnito/privado?
2. ¿Cuál es el comportamiento de la autenticación con passkeys en modo de incógnito/privado en Chrome, Safari, Edge y Firefox?

Este conocimiento garantiza una experiencia de usuario fluida en diferentes navegadores y sistemas operativos, posicionando tu aplicación a la vanguardia de la seguridad y la comodidad.

Las passkeys son esencialmente claves criptográficas que se utilizan para autenticar a los usuarios sin necesidad de contraseñas tradicionales. Ofrecen una seguridad mejorada al eliminar los riesgos asociados con el robo de contraseñas y los ataques de phishing.

Normalmente, las passkeys se almacenan de forma segura en el dispositivo, y su funcionalidad se mantiene constante incluso en los modos de incógnito o privados para la mayoría de los sistemas operativos, a excepción de Windows 10 (ver más abajo), siempre que el dispositivo esté preparado para passkeys.

Los modos de incógnito o privados se utilizan comúnmente para navegar por internet sin dejar rastro. Esta función es valiosa para los usuarios que priorizan la privacidad, y es esencial que los métodos de autenticación, como las passkeys, funcionen sin problemas en estos modos.

Sin embargo, en la historia del desarrollo de WebAuthn, ha habido debates y mejoras continuas, ya que el comportamiento solía ser bastante confuso e inconsistente entre sistemas operativos y navegadores (consulta estas antiguas discusiones e informes de errores como referencia aquí, aquí y aquí).

Entender el comportamiento de las passkeys en varios navegadores y sistemas operativos ayuda a garantizar la compatibilidad y una experiencia de usuario fluida.

¿Funcionan las passkeys en modo de navegación de incógnito/privado?

En Windows 10 (22H2), descubrimos la única excepción en la que las passkeys no funcionan de manera fiable y obtuvimos las dos siguientes capturas de pantalla al intentar usar un autenticador de plataforma (Windows Hello):

Mensaje de error de passkey en modo incógnito de Chrome en Windows 10

Mensaje de error de passkey en modo inPrivate de Edge en Windows 10

Cuando cambiamos al modo de navegación normal, todo funcionó como se esperaba, por lo que el mensaje de error en la ventana emergente es engañoso.

Además, si intentábamos usar un autenticador multiplataforma (por ejemplo, una llave de seguridad de hardware, como una YubiKey, o la autenticación entre dispositivos mediante código QR / Bluetooth), esto sí funcionaba.

Al investigar más a fondo el problema y ejecutar los siguientes dos comandos en la consola del navegador para determinar si el autenticador de plataforma (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()) y la IU condicional (PublicKeyCredential.isConditionalMediationAvailable()) estaban disponibles, hicimos un descubrimiento interesante: la primera promesa devolvía false, mientras que la segunda devolvía true, lo que no tenía ningún sentido, ya que los autenticadores de plataforma son necesarios para que la IU condicional funcione.

A partir de Chrome 129 (y de forma similar en Edge, que está basado en Chromium), PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() devuelve true incluso en modo incógnito / InPrivate en Windows 10. Anteriormente, esto era false en modo incógnito. A pesar de que ahora devuelve true, el autenticador de plataforma sigue sin estar disponible para crear nuevas passkeys, lo que provoca un flujo de usuario interrumpido.

A continuación, se muestra una tabla con los valores de retorno de PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() en Windows 10 en diferentes versiones y modos de Chrome/Edge:

Comportamiento observado:

• En el modo incógnito de Chrome/Edge en Windows 10, a pesar de que la promesa devuelve true, el autenticador de plataforma no aparece para la creación de passkeys.
• En su lugar, se solicita a los usuarios que añadan una llave de seguridad (p. ej., YubiKey)
• Aunque las llaves de seguridad de hardware siguen funcionando para la creación de passkeys, este no es el flujo esperado cuando se utilizan autenticadores de plataforma como Windows Hello.

Impacto del cambio: Esto interrumpe de manera efectiva el flujo para agregar passkeys al autenticador de plataforma en modo incógnito/InPrivate. El ajuste en Chrome 129+ se realizó principalmente para habilitar la funcionalidad de inicio de sesión con passkeys en modo incógnito. Los flujos de inicio de sesión utilizan el mismo mecanismo de detección para verificar la compatibilidad con passkeys (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()), y este cambio garantiza que los inicios de sesión puedan proceder sin problemas. Sin embargo, la consecuencia no deseada es la experiencia interrumpida para crear passkeys con el autenticador de plataforma en los modos de navegación privada.

Se pueden encontrar más detalles sobre este cambio en la revisión del código fuente de Chromium y la discusión asociada en el seguimiento de problemas. Para los sitios web que buscan ofrecer un soporte óptimo para las passkeys, detectar el modo incógnito es actualmente la única forma de mitigar este problema. Al identificar cuándo un usuario está en modo incógnito/InPrivate en Windows 10 con Chrome/Edge, los sitios web pueden evitar de forma preventiva ofrecer opciones de autenticador de plataforma para la creación de passkeys.

Al usar Windows Hello como autenticador de plataforma, aparece una ventana emergente de seguridad durante la creación de la passkey en modo incógnito (en Chrome) / modo inPrivate (en Edge), alertando a los usuarios de que la passkey se almacenará y podrá usarse más tarde en modo no incógnito (este comportamiento se probó en Windows 11 22H2). Teniendo en cuenta uno de los casos de uso del modo incógnito, donde un usuario quiere crear una cuenta sin dejar rastro de ninguna información, esta advertencia tiene sentido.

En Android y usando el modo incógnito (en Chrome) / modo inPrivate (en Edge), el comportamiento es similar al de Windows 11, ya que se muestra una ventana emergente informativa que le dice al usuario que la passkey se guardará en el gestor de contraseñas y que cualquiera con acceso al gestor de contraseñas también tendrá acceso a la passkey.

En resumen, las passkeys funcionan de manera fiable en los modos de incógnito y privados en los principales navegadores y sistemas operativos, con algunas excepciones específicas en Windows 10 para la creación de passkeys. Al aprovechar las soluciones de Corbado, los desarrolladores pueden implementar passkeys de manera eficiente, y los product managers pueden mejorar las experiencias de los usuarios sin comprometer la seguridad.