¿Passkeys sin datos biométricos? ¿Funciona?

Sí, las passkeys pueden funcionar sin datos biométricos utilizando autenticadores locales como PIN, patrones o contraseñas del dispositivo. Estos métodos proporcionan una autenticación segura cuando las opciones biométricas como el reconocimiento facial o de huellas dactilares no están disponibles. Las passkeys se basan en el autenticador local del dispositivo, que es configurado por el usuario y no está controlado por la parte de confianza.

---

Las passkeys se basan en WebAuthn, un estándar para la autenticación sin contraseña. Normalmente, las passkeys utilizan un autenticador local para la verificación del usuario. Cuando los datos biométricos como el reconocimiento facial o de huellas dactilares no están disponibles, el autenticador local proporciona un método alternativo de autenticación.

Un autenticador local es un mecanismo en su dispositivo que verifica su identidad. Algunos ejemplos (todos no biométricos) son:

• Códigos PIN - Un código numérico que introduce para desbloquear su dispositivo.
• Patrones - Un patrón de deslizamiento dibujado en una pantalla táctil.
• Contraseñas del dispositivo - Contraseñas alfanuméricas utilizadas para acceder al dispositivo.
• Bloqueos de pantalla - Cualquier otro mecanismo que restrinja el acceso al dispositivo.

1. Configuración del usuario: El usuario configura su autenticador local en su dispositivo.
2. Creación de la passkey: El dispositivo genera un par de claves criptográficas durante la configuración de la cuenta.
   • La clave privada se almacena de forma segura en el dispositivo.
   • La clave pública se comparte con el servicio (parte de confianza).
3. Autenticación: Cuando el usuario intenta iniciar sesión:
   • La parte de confianza envía un desafío al dispositivo.
   • El dispositivo utiliza la clave privada para firmar el desafío.
   • El autenticador local (p. ej., PIN, patrón) verifica la identidad del usuario antes de firmar.

• Accesibilidad: Permite a los usuarios sin dispositivos con capacidad biométrica utilizar passkeys.
• Seguridad: Los autenticadores locales están vinculados al dispositivo y no pueden ser interceptados de forma remota.
• Control del usuario: Los usuarios pueden elegir el método con el que se sientan más cómodos, mejorando las tasas de adopción.

No, los desarrolladores y las partes de confianza no pueden controlar directamente el tipo de autenticador local utilizado. Esto se determina por la configuración del dispositivo del usuario. Sin embargo, los desarrolladores pueden diseñar flujos de usuario que expliquen claramente el proceso y guíen a los usuarios para configurar un autenticador local si aún no lo han hecho.

Las passkeys sin datos biométricos proporcionan inclusividad y flexibilidad. No todos los usuarios tienen acceso a la última tecnología biométrica, pero aun así pueden beneficiarse de la seguridad y comodidad de la autenticación sin contraseña a través de alternativas como los PIN y los patrones.

---