El futuro sin contraseña: Preguntas frecuentes sobre claves de acceso

¿Qué es una contraseña y cómo funciona?

Las claves de acceso son una forma de autenticación que te permite crear e iniciar sesión en cuentas rápidamente, sin tener que utilizar una contraseña menos segura. Este método de inicio de sesión seguro en un solo paso sustituye a los métodos de autenticación tradicionales, así como al proceso de autenticación de dos factores (2FA). Aún mejor, con passkeys, nunca volverás a crear una contraseña débil, porque nunca más necesitarás crear una contraseña.

¿Sustituyen las passkeys a las llaves físicas, como las Yubikeys?

Un Yubikey moderno puede utilizarse como llave maestra. En concreto, se trata de lo que se conoce como clave de seguridad o "clave de acceso vinculada al dispositivo", en la que la clave reside en el pequeño dispositivo y nunca se sincroniza ni se realiza una copia de seguridad de ella. Esto puede hacer que sean más difíciles de usar que una Passkey sincronizada, pero puede ser útil en ciertos escenarios.

¿Son las passkeys lo mismo que las passwordless?

Sí. Dado que las claves de acceso no requieren contraseña, se consideran un método de autenticación sin contraseña. Tenga en cuenta que las Passkeys son, en general, más seguras que otros medios de autenticación sin contraseña que pueden ser suplantados más fácilmente.

¿Cuál es la mejor manera de utilizar las passkeys?

Utilizar una clave de acceso es mucho más sencillo de lo que imaginas. Cuando te registras para obtener una nueva cuenta, en lugar de crear un nombre de usuario y una contraseña tradicionales (y la inscripción adicional de inicio de sesión en dos pasos), creas una única clave de acceso. Esa clave puede combinarse con los datos biométricos del dispositivo (como un escáner de huellas dactilares) o un PIN si la clave requiere la verificación del usuario. Así, cuando vayas a iniciar sesión en la cuenta, sólo tendrás que autenticarte mediante datos biométricos o PIN para acceder. Los datos biométricos sólo se utilizan localmente en su dispositivo y nunca se envían al sitio web.

¿Cuál es el proceso para configurar una clave de acceso? ¿Cómo cambiará ese proceso cuando visite un sitio o una aplicación en el futuro?

Cuando un sitio web o una aplicación que antes utilizaba un nombre de usuario/contraseña tradicional permite el uso de claves de acceso, suele bastar con pulsar un botón para crear la primera clave de acceso. El proceso es tan sencillo como desbloquear tu dispositivo. En segundo plano, cuando crees una clave de acceso, se generará un par de claves criptográficas. La primera es la clave pública, que se almacena en el sitio web para el que está creando la cuenta. La segunda es la clave privada, que se almacena en su dispositivo o en su Bóveda Bitwarden. Este par de claves está protegido en tu dispositivo por tu huella dactilar biométrica o escáner facial.

¿Qué información se necesita para configurar una clave de acceso?

Cuando cree una clave de acceso para un sitio, primero tendrá que iniciar sesión con su nombre de usuario y contraseña actuales. A continuación, el servidor enviará una solicitud a su navegador para que proporcione información específica sobre el cifrado. A continuación, tendrá que aprobar la solicitud utilizando, por ejemplo, datos biométricos (escáner de huellas dactilares o desbloqueo facial) o el código PIN de su dispositivo. Si la verificación se realiza correctamente, el dispositivo generará el par de claves y enviará la clave pública al sitio. Y esa es toda la información que se te pedirá cuando configures una clave de acceso.

¿Dónde se guardan mis claves de acceso?

La clave pública se almacena en el sitio web y la clave privada se almacena en su dispositivo o en su proveedor de claves de acceso, por ejemplo, su Bitwarden Vault.

From a security perspective, how do passwords and passkeys compare?

Passkeys are more secure than the traditional username/password authentication method for a number of reasons. First and foremost, you won't be able to use easy-to-crack passwords, such as “password.” Also, 2FA is built into the passkey and the only way someone could access your account would be to have both the private key and your biometric login or device pin code.

Do I need 2FA with my passkey?

No, because 2FA is built into the passkey that is provided to the website during the login process. Each website may choose to include an additional step for logging in, though most do not.

Can my passkey be hacked?

Nothing is 100% foolproof. However, hacking a passkey would require considerable effort to not only gain access to the device where the private key is stored but to also break into your device, e.g. recreating your biometric login (fingerprint or face) or device pin code. Because of this, passkeys are far more secure than traditional methods.

What happens if I lose my phone? How do I recover my passkey with nothing like a password to identify myself?

Passkeys are often able to sync across your devices, however not all platforms support this yet. Bitwarden will allow you to store your passkeys in your vault that is backed up and syncs between all your devices. Should you somehow lose your passkeys, most sites should have recovery options, so you can create a new passkey for your account. This will, of course, be on a site-by-site basis. 

What happens if my device is stolen? Can a thief gain access to passkeys in that way?

The only way a thief could successfully use your passkeys on your device is if they can also unlock your device, effectively gaining full access to your data. However, each use of a passkey often requires user verification such as biometrics or re-entry of your device pin, so stealing your device while unlocked would not be enough.

Google recently announced passkey support. Is this the same thing that Bitwarden is announcing?

Partly. Google announced that it has added support for passkey authentication for Workspaces accounts, meaning users can sign into their Google Workspace with a passkey instead of their usual password. Similarly, Bitwarden users will be able to access their Bitwarden accounts with a passkey instead of their master password. 

Bitwarden also announced that users will be able to save, store, and manage registered passkeys associated with the websites and applications they use right within their vaults. So, Google now makes it possible to use passkeys for accounts and Bitwarden is capable of storing passkeys in vaults.

Do I use the same passkey regardless of the browser I’m on or will each site require a different passkey depending on the browser or device?

The passkeys stored in Bitwarden are synced passkeys, meaning that any browser where you are logged into the Bitwarden extension or where you have the Bitwarden mobile app installed, you can access your accounts using the same passkeys without needing to create new ones. If you don’t store your passkeys in Bitwarden it will depend on how well the browser integrates with your device OS (where the passkeys are stored).

The growing list of sites that support passkeys at the moment include Best Buy, Cloudflare, eBay, Google, Kayak, PayPal, and GitHub. A community-sourced Passkey Index is available on GitHub.

Users can use a passkey to access their accounts without a master password for the web app using supported browsers. Passkeys can also be created and stored in Bitwarden vaults for accessing sites supporting passkeys.

Can passkeys be used across platforms? If not, are there any issues with having different passkeys depending on the platform you’re using?

There are two types of passkeys, device-bound passkeys and synced passkeys. Device-bound passkeys are limited to the device where they were created. Synced passkeys can be stored inside a passkey provider like Bitwarden, and used wherever they are logged in.

Will I be locked into using passkeys if I adopt it?

That will depend on the site or the account. Some sites may only choose to offer passkey authentication, while others may offer traditional username/password authentication, username/password/2FA authentication.

Can passkeys be shared with other trusted individuals?

That depends on the platform. Some platforms, including Bitwarden, make it possible to share passkeys with trusted individuals. 

Is there support, such as a live chat representative to speak with if I’m having trouble with my passkey?

That will depend on the site. If a site supports passkey authentication and they offer support, they will be able to answer your questions regarding passkey authentication for that particular site.

If I no longer want to use my passkey, can I remove it?

Yes. This will be done in the same way you would remove a password on your device.