Proveedores de passkeys: tipos, AAGUID y adopción

Looking for a developer-focused passkey reference? Download our Passkeys Cheat Sheet (incl. WebAuthn ceremonies, objects & Conditional UI). Trusted by dev teams at Ally, Stanford CS & more.

Get Cheat Sheet

Cuando usamos passkeys o trabajamos implementándolas, hay un componente que se vuelve bastante importante: el proveedor de passkeys (passkey provider). Sin embargo, aunque es una parte crucial del ecosistema, muchas personas solo tienen una idea general de qué son o no conocen la diferencia entre un proveedor de passkeys first-party (propio), un proveedor de passkeys third-party (de terceros) y un proveedor de autenticación con passkeys.

Get a free passkey assessment in 15 minutes.

Book free consultation

Este artículo busca arrojar luz sobre el tema. Ya seas desarrollador de software, product manager o simplemente alguien con curiosidad por lo último en seguridad web, entender el rol y los tipos de proveedores de passkeys es esencial. Al desmitificar este tema, queremos darte el conocimiento necesario para que entiendas las passkeys con confianza.

Un proveedor de passkeys juega un papel fundamental en el ecosistema de la autenticación basada en passkeys, actuando como el puente entre los dispositivos de los usuarios y el acceso seguro y fluido a los relying parties (servicios online). Pero, ¿qué es exactamente un proveedor de passkeys, especialmente cuando no existe una definición oficial y encuentras diferentes interpretaciones en internet?

La siguiente definición refleja nuestro entendimiento y no pretende ser la única definición exacta.

Básicamente, un proveedor de passkeys es cualquier entidad que permite la creación, gestión y uso de passkeys. A través de nuestra investigación, identificamos dos categorías principales bajo las cuales se pueden clasificar: proveedores de passkeys first- / third-party y proveedores de autenticación con passkeys.

Become part of our Passkeys Community for updates & support.

Join

Esta categoría incluye entidades capaces de generar una passkey en el lado del cliente (en el dispositivo del usuario). Cuando se crea una passkey a través de estas plataformas, se gestiona y almacena de forma segura, a menudo en la nube del fabricante del sistema operativo (por ejemplo, iCloud Keychain, Google Password Manager) o en un gestor de contraseñas externo o password manager (por ejemplo, KeePassXC, 1Password, Dashlane, ver más abajo).

Los sistemas operativos que permiten la creación de passkeys y su gestión de forma nativa se consideran proveedores de passkeys first-party. Por el contrario, los gestores de contraseñas externos que se integran con la plataforma a través de APIs se denominan proveedores de passkeys third-party.

Un proveedor de passkeys, ya sea first-party o third-party, tiene el mismo Authenticator Attestation Globally Unique Identifier (AAGUID), lo cual ayuda a mejorar la experiencia de usuario (por ejemplo, en la configuración de la cuenta para distinguir passkeys más fácilmente). A veces pueden tener múltiples AAGUIDs, pero todos pertenecen al mismo proveedor.

Proveedores de passkeys en un dispositivo con iOS 17.4

Proveedores de passkeys en un dispositivo con Android 14

API de Credential Manager de Android

La segunda categoría abarca a los proveedores de autenticación que los desarrolladores pueden integrar en sus aplicaciones para manejar todos los aspectos de la gestión de passkeys. Es decir, estos son proveedores que trabajan más en el lado del servidor (frente al lado del cliente mencionado arriba). Esta definición también incluiría soluciones como Corbado, que ofrecen soluciones de autenticación centradas en passkeys para sitios web y apps. En consecuencia, estos proveedores deberían describirse más precisamente como proveedores de autenticación con passkeys, diferenciándolos de los proveedores de passkeys first- y third-party mencionados anteriormente.

En las siguientes secciones de este artículo, usaremos el término "proveedores de passkeys" para referirnos a los proveedores first- y third-party, de acuerdo con nuestra definición.

A medida que los usuarios comienzan a adoptar passkeys para varios relying parties, gestionarlas eficazmente emerge como un desafío importante. Esto también es cierto para usuarios que utilizan múltiples passkeys para una sola cuenta, ya que diferenciarlas para editarlas o borrarlas puede ser complejo para un relying party. A pesar de la comodidad y seguridad que ofrecen las passkeys, existe un problema potencial si un usuario pierde una de ellas. Afortunadamente, aún pueden acceder a su cuenta en el relying party usando passkeys alternativas. Para ayudar a los usuarios a identificar passkeys específicas, algunos recursos sugieren añadir metadatos, como la fecha de creación y de último uso, en la configuración de la cuenta. Además, se recomienda utilizar user agents o client hints para nombrar y categorizar automáticamente las passkeys al crearlas. Sin embargo, las apps nativas de Android o iOS, así como los proveedores third-party, podrían no utilizar user agents, o no añadir información que indique que una passkey ha sido generada por un proveedor externo. Esta limitación resalta la necesidad de mejores métodos para ayudar a los usuarios a gestionar sus passkeys eficientemente, sin importar la plataforma o el proveedor.

Tomado de la especificación WebAuthn de W3C

Para facilitar esta gestión, los desarrolladores pueden hacer uso del Authenticator Attestation Globally Unique Identifier (AAGUID). El AAGUID es un identificador único asignado al modelo del autenticador, no a su instancia específica. Está incrustado dentro de los datos del autenticador de la credencial de clave pública, ofreciendo una forma para que los relying parties identifiquen al proveedor de la passkey. Esta capacidad es crucial para ayudar a usuarios y relying parties a navegar el panorama de las passkeys, asegurando que cada una pueda asociarse con precisión a su fuente de creación.

Por ejemplo, si se crea una passkey usando el Google Password Manager en un dispositivo Android, el relying party puede recibir un AAGUID específico del Password Manager de Google. Al referenciar este AAGUID, el relying party puede marcar la passkey en consecuencia, simplificando la gestión y la identificación para el usuario. Además, los relying parties pueden evitar la creación de múltiples passkeys para el mismo proveedor utilizando la opción del servidor WebAuthn excludeCredentials. Esto mejora aún más la UX de las passkeys, ya que cada proveedor solo tendrá una passkey, evitando así la confusión del usuario.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

Para determinar el proveedor de passkeys usando un AAGUID, los relying parties pueden consultar un repositorio de AAGUIDs mantenido por la comunidad. Este repositorio proporciona los mapeos necesarios para identificar al proveedor por nombre y, potencialmente, por icono, ayudando a ofrecer una interfaz de usuario más intuitiva para la gestión de passkeys. Sin embargo, es importante notar que algunos proveedores podrían usar un AAGUID genérico ("00000000-0000-0000-0000-0000000000000") intencionalmente, representando un proveedor desconocido o genérico.

Recuperar el AAGUID es sencillo con la mayoría de las librerías WebAuthn. Por ejemplo, al usar SimpleWebAuthn en el lado del servidor, los desarrolladores pueden extraer el AAGUID de la información de registro para emparejarlo con un proveedor conocido, mejorando la capacidad del usuario para gestionar sus passkeys con mayor facilidad (tomado de "Determine the passkey provider with AAGUID" de Google).

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

Aunque los AAGUIDs ofrecen una herramienta potente para la gestión, deben usarse con precaución. La integridad de un AAGUID depende del proceso de attestation, que valida la autenticidad del proveedor de passkeys. Sin una firma de attestation válida, los AAGUIDs podrían ser manipulados potencialmente. A partir de marzo de 2024, es destacable que las passkeys en algunas plataformas no soportan attestation, lo que subraya la necesidad de considerar su uso cuidadosamente.

A continuación, encontrarás una lista no exhaustiva de proveedores first- y third-party para apps de Android, apps de iOS y aplicaciones web, utilizando versiones comunes de sistemas operativos y navegadores:

Aquí mostramos algunos de los popups de proveedores third-party para crear / guardar una passkey:

Mira el análisis completo de 1Password aquí.

Mira el análisis completo de Dashlane aquí.

Mira el análisis completo de KeePassXC aquí.

El rol de los proveedores de passkeys es central para el despliegue y gestión de las mismas; son entidades que no solo facilitan la creación y gestión, sino que también aseguran su integración fluida a través de varias plataformas y dispositivos.

El objetivo de este artículo ha sido entender qué es un proveedor de passkeys, incluyendo la distinción entre proveedores first-party y third-party, así como el papel crítico del Authenticator Attestation Globally Unique Identifier (AAGUID). El uso de los AAGUIDs, como hemos discutido, ofrece una solución prometedora que permite una identificación y gestión de passkeys más sencilla.

Además, hemos analizado qué proveedores first- y third-party existen actualmente para Android, iOS y Windows, ayudando a los usuarios a encontrar un proveedor externo adecuado o su dispositivo de elección.

Para desarrolladores y product managers, estos conocimientos sobre los proveedores y su gestión no solo guían la implementación técnica de la autenticación con passkeys, sino que también se alinean con el objetivo más amplio de mejorar la experiencia de usuario y la seguridad.