Proveedores de claves de acceso: Tipos, AAGUID y adopción

Hoja de referencia de Passkeys. Guías prácticas, patrones de despliegue y KPIs para programas de passkeys.

Obtener cheat sheet

Al utilizar claves de acceso o trabajar en el campo de la implementación de claves de acceso, un componente se vuelve bastante importante: el proveedor de claves de acceso. Sin embargo, a pesar de ser una parte crucial en el ecosistema de las claves de acceso, muchas personas solo tienen un conocimiento superficial sobre los proveedores de claves de acceso o desconocen la diferencia entre un proveedor de claves de acceso propio, un proveedor de claves de acceso de terceros y un proveedor de autenticación de claves de acceso.

Obtén una evaluación gratuita de passkeys en 15 minutos.

Reservar consulta gratuita

Esta publicación del blog pretende aclarar esto. Ya sea desarrollador de software, gerente de producto o simplemente alguien curioso acerca de lo último en seguridad web, comprender la función y los tipos de proveedores de claves de acceso es esencial. Al desmitificar este tema, buscamos empoderar a las personas con el conocimiento para comprender las claves de acceso con confianza.

Un proveedor de claves de acceso desempeña una función fundamental en el ecosistema de la autenticación basada en claves de acceso, actuando como puente entre los dispositivos de los usuarios y el acceso seguro y fluido a las partes usuarias (servicios en línea). Pero, ¿qué es exactamente un proveedor de claves de acceso, especialmente dado que no existe una definición oficial y encontrará diferentes interpretaciones en línea?

La siguiente definición refleja nuestra interpretación y no se afirma que sea la única definición precisa.

Un proveedor de claves de acceso es fundamentalmente cualquier entidad que permite la creación, gestión y uso de claves de acceso. A través de nuestra investigación, identificamos dos categorías principales en las que se pueden clasificar los proveedores de claves de acceso: proveedores de claves de acceso propios / de terceros y proveedores de autenticación de claves de acceso.

Esta categoría incluye entidades capaces de generar una clave de acceso en el lado del cliente (en el dispositivo del usuario). Cuando se crea una clave de acceso a través de estas plataformas, se gestiona y almacena de forma segura, a menudo en la nube del fabricante de un sistema operativo (por ejemplo, iCloud Keychain, el Gestor de contraseñas de Google) o en un gestor de contraseñas de terceros (por ejemplo, KeePassXC, 1Password, Dashlane; consulte más abajo).

Los sistemas operativos que permiten la creación y gestión de claves de acceso de forma nativa se consideran proveedores de claves de acceso propios. Por el contrario, los gestores de contraseñas de terceros que se integran con la plataforma a través de las API se denominan proveedores de claves de acceso de terceros.

Un proveedor de claves de acceso propio o de terceros tiene los mismos Identificadores Únicos Globales de Certificación del Autenticador (AAGUID), que ayudan a mejorar la experiencia del usuario (por ejemplo, en la configuración de la cuenta para distinguir más fácilmente las claves de acceso). A veces pueden tener múltiples AAGUID, que pertenecen todos al mismo proveedor de claves de acceso propio o de terceros.

Proveedores de claves de acceso en un dispositivo con iOS 17.4

Proveedores de claves de acceso en un dispositivo con Android 14

API de Credential Manager de Android

La segunda categoría abarca los proveedores de autenticación que los desarrolladores pueden integrar en sus aplicaciones para manejar todos los aspectos de la gestión de claves de acceso. Por lo tanto, estos son proveedores que trabajan más en el lado del servidor (frente al lado del cliente anterior). Esta definición también incluiría soluciones como Corbado, que ofrecen soluciones de autenticación centradas en las claves de acceso para sitios web y aplicaciones. En consecuencia, estos proveedores de claves de acceso deberían describirse de forma más precisa como proveedores de autenticación de claves de acceso, diferenciándolos de los proveedores de claves de acceso propios y de terceros mencionados anteriormente.

En las siguientes secciones de esta publicación del blog, utilizaremos el término "proveedores de claves de acceso" para referirnos a los proveedores de claves de acceso propios y de terceros, de acuerdo con nuestra definición.

A medida que los usuarios comienzan a adoptar claves de acceso para diversas partes usuarias, gestionarlas eficazmente surge como un desafío importante. Esto también es cierto para los usuarios que utilizan múltiples claves de acceso para una sola cuenta, ya que diferenciar estas claves de acceso para fines de edición o eliminación puede ser complejo para una parte usuaria. A pesar de la comodidad y seguridad que ofrecen las claves de acceso, existe un problema potencial si un usuario pierde una de sus claves de acceso. Afortunadamente, aún pueden acceder a su cuenta en la parte usuaria utilizando claves de acceso alternativas. Para ayudar a los usuarios a identificar claves de acceso específicas, algunos recursos sugieren agregar metadatos, como las fechas de creación y último uso de una clave de acceso en la configuración de la cuenta. Además, se recomienda utilizar user agents o client hints para nombrar y categorizar automáticamente las claves de acceso tras su creación. Sin embargo, las aplicaciones nativas de Android o iOS, así como los proveedores de claves de acceso de terceros, es posible que no utilicen user agents o no añadan información que indique que una clave de acceso ha sido generada por un proveedor de claves de acceso de terceros. Esta limitación destaca la necesidad de métodos mejorados para ayudar a los usuarios a gestionar sus claves de acceso de forma eficiente, independientemente de la plataforma o el proveedor.

Tomado de la especificación WebAuthn del W3C

Para facilitar esta gestión de claves de acceso, los desarrolladores pueden utilizar el Identificador Único Global de Certificación del Autenticador (AAGUID). El AAGUID es un identificador único asignado al modelo del autenticador, no a su instancia específica. Está incrustado en los datos del autenticador de la credencial de clave pública, ofreciendo una forma de que las partes usuarias identifiquen al proveedor de claves de acceso. Esta capacidad es crucial para ayudar a los usuarios y a las partes usuarias a navegar por el panorama de las claves de acceso, garantizando que cada clave de acceso se pueda asociar con precisión con su fuente de creación.

Por ejemplo, si se crea una clave de acceso utilizando el Gestor de contraseñas de Google en un dispositivo Android, la parte usuaria puede recibir un AAGUID específico del Gestor de contraseñas de Google. Al hacer referencia a este AAGUID, la parte usuaria puede marcar la clave de acceso en consecuencia, simplificando la gestión y la identificación para el usuario. Además, las partes usuarias pueden evitar la creación de múltiples claves de acceso para el mismo proveedor de claves de acceso mediante el uso de la opción de servidor excludeCredentials de WebAuthn. Esto mejora aún más la experiencia de usuario de las claves de acceso, ya que cada proveedor de claves de acceso solo tendrá una clave de acceso, evitando así la confusión del usuario.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

Para determinar el proveedor de claves de acceso mediante un AAGUID, las partes usuarias pueden consultar un repositorio de AAGUID aportado por la comunidad. Este repositorio proporciona las asignaciones necesarias para identificar al proveedor de claves de acceso por su nombre y, posiblemente, por su icono, lo que ayuda a proporcionar una interfaz de usuario más intuitiva para la gestión de claves de acceso. Sin embargo, es importante tener en cuenta que algunos proveedores de claves de acceso pueden utilizar un AAGUID genérico ("00000000-0000-0000-0000-0000000000000") de forma intencionada, representando a un proveedor desconocido o genérico.

La recuperación del AAGUID es sencilla con la mayoría de las bibliotecas de WebAuthn. Por ejemplo, al utilizar SimpleWebAuthn en el lado del servidor, los desarrolladores pueden extraer el AAGUID de la información de registro para que coincida con un proveedor conocido, mejorando la capacidad del usuario para gestionar sus claves de acceso con mayor facilidad (tomado de "Determinar el proveedor de claves de acceso con AAGUID" de Google).

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

Aunque los AAGUID ofrecen una potente herramienta para la gestión de claves de acceso, deben utilizarse con precaución. La integridad de un AAGUID depende del proceso de certificación, que valida la autenticidad del proveedor de claves de acceso. Sin una firma de certificación válida, los AAGUID podrían manipularse potencialmente. A partir de marzo de 2024, cabe destacar que las claves de acceso en algunas plataformas no admiten la certificación, lo que resalta la necesidad de considerarlo cuidadosamente en su uso.

A continuación, encontrará una lista no exhaustiva de proveedores de claves de acceso propios y de terceros para aplicaciones de Android, aplicaciones de iOS y aplicaciones web que utilizan versiones muy comunes de sistemas operativos y navegadores compatibles con claves de acceso:

A continuación, encontrará algunas de las ventanas emergentes de los proveedores de claves de acceso de terceros para crear / guardar una clave de acceso:

Consulte el análisis completo de 1Password aquí.

Consulte el análisis completo de Dashlane aquí.

Consulte el análisis completo de KeePassXC aquí.

El papel de los proveedores de claves de acceso es fundamental para el despliegue y la gestión de las claves de acceso, ya que son entidades que no solo facilitan la creación y gestión de las claves de acceso, sino que también garantizan su integración fluida en diversas plataformas y dispositivos.

Comprender qué es un proveedor de claves de acceso, incluida la distinción entre proveedores propios y de terceros, así como el papel crítico del Identificador Único Global de Certificación del Autenticador (AAGUID) fue el objetivo de estas publicaciones del blog. El uso de AAGUID, como se ha comentado, ofrece una solución prometedora que permite una identificación y gestión de claves de acceso más sencillas.

Además, hemos analizado qué proveedores de claves de acceso propios y de terceros existen en la actualidad para Android, iOS y Windows, ayudando a los usuarios también a encontrar un proveedor de claves de acceso de terceros adecuado o su dispositivo de elección.

Para los desarrolladores y gerentes de producto, los conocimientos sobre los proveedores de claves de acceso y su gestión no solo guían la implementación técnica de la autenticación con claves de acceso, sino que también se alinean con el objetivo más amplio de mejorar la experiencia y la seguridad del usuario.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →