Saltar al contenido principal
Las passkeys son un método de autenticación seguro y sin contraseña basado en los estándares FIDO2 (WebAuthn y CTAP). Tienen varias ventajas frente a la autenticación tradicional con identificador y contraseña:
  • Las passkeys permiten a los usuarios autenticarse con biometría o credenciales vinculadas al dispositivo (como una huella digital, un PIN o un patrón), por lo que el inicio de sesión es más rápido y no requiere recordar una contraseña.
  • Las passkeys sincronizan credenciales entre dispositivos para que los usuarios no tengan que volver a inscribirse en cada dispositivo nuevo.
  • Las passkeys son resistentes al phishing porque usan criptografía de clave pública, por lo que no hay secretos compartidos y el dispositivo del usuario genera claves únicas para cada cuenta.
  • Las passkeys ofrecen una recuperación más confiable porque las credenciales almacenadas pueden conservarse aunque se pierda el dispositivo original.
  • Las passkeys vinculan las credenciales a un dominio específico para que los usuarios puedan autenticarse en un dominio completo con una sola passkey.
Para obtener más información sobre las passkeys, consulte el resumen sobre passkeys de FIDO Alliance.

Acerca de las passkeys en Auth0

Auth0 admite passkeys como método de autenticación para conexiones de base de datos y ofrece tres métodos de implementación, según el tipo de aplicación: Auth0 tiene un límite de 20 passkeys por usuario. Cuando habilita las passkeys en su conexión de base de datos, estas quedan disponibles para los usuarios durante el registro y el inicio de sesión.
1

La interfaz de usuario de registro solicita al usuario su dirección de correo electrónico.

El usuario introduce su dirección de correo electrónico y selecciona Continuar.
2

La interfaz de usuario de registro solicita al usuario que use passkeys.

El usuario selecciona Crear una passkey.
3

El administrador de credenciales del usuario le solicita que cree una passkey.

Si el usuario selecciona Continuar, se le pedirá que se autentique con las credenciales de su dispositivo.
Si el usuario selecciona Probar de otra manera, se le pedirá que escanee un código QR con el dispositivo en el que quiere crear la passkey.
1

La interfaz de usuario de inicio de sesión solicita al usuario su dirección de correo electrónico y/o una passkey.

La política de passkeys de su conexión de base de datos le permite elegir si la interfaz de usuario de inicio de sesión permite el autocompletado, muestra el botón de passkey o ambas opciones.
Si el usuario introduce su correo electrónico, el autocompletado sugiere sus passkeys almacenadas junto con otras credenciales, como contraseñas.Si el usuario selecciona el botón Continuar con una passkey, su administrador de credenciales le solicita que elija qué passkey usar.
2

El administrador de credenciales del usuario le solicita que se autentique con las credenciales de su dispositivo.

Las passkeys no reemplazan ni invalidan las credenciales existentes de un usuario. Cuando un usuario crea su passkey, esta se agrega a su cuenta como método de autenticación, pero las credenciales existentes de correo electrónico/username y contraseña siguen siendo válidas.

Passkey con MFA habilitado

Si está habilitado, es posible que se pida al usuario que complete una prueba de MFA después de autenticarse con una passkey, según la configuración y la evaluación de riesgos. El comportamiento predeterminado es exigir que se complete una prueba de MFA independientemente de si el método de autenticación utilizado fue una contraseña o una passkey. Dado el alto nivel de seguridad que proporcionan las passkey, puede omitir MFA para los usuarios que se hayan autenticado con una passkey para reducir la fricción. Esto puede lograrse mediante una Action de post-login. Para obtener más información, consulte Reduce friction with passkeys y Autenticación multifactor.

Passkey con múltiples dominios personalizados (MCD)

Si tiene habilitados varios dominios personalizados en su inquilino, Auth0 mantiene una relación uno a uno entre un dominio y la passkey de ese dominio. Los usuarios de una base de datos habilitada para passkey pueden registrarse e iniciar sesión con una passkey vinculada al dominio específico en el que se creó. Los usuarios solo pueden inscribir una passkey para un dominio (el primero en el que la inscriben, entre los múltiples dominios personalizados del inquilino). Para el inicio de sesión sin contraseña, el dominio personalizado seleccionado debe reflejarse en el Magic Link del flujo de inicio de sesión sin contraseña.

ID de la parte de confianza para passkeys

El identificador de la parte de confianza (RP ID) es un dominio al que WebAuthn vincula credenciales como las passkeys. El RP ID define qué orígenes de solicitud están permitidos para la autenticación.
El dominio de su aplicación debe agregarse a la lista de Allowed Origins (CORS) en la configuración de su aplicación para que el RP ID funcione correctamente.
Definir el RP ID como sufijo del origen permite a los usuarios autenticarse en varios subdominios con una sola passkey. Por ejemplo, si su aplicación web se sirve en login.example.com y su aplicación nativa se sirve en app.example.com, puede configurar el RP ID como example.com para que los usuarios finales puedan autenticarse en ambas aplicaciones (y en cualquier otro subdominio de example.com) con una única passkey.
EntornoDominio raízRP ID
Webhttps://login.example.comexample.com
iOSapp.example.comexample.com
Androidassetlinks.jsonexample.com
Con Auth0, puede personalizar el RP ID como dominio raíz o dominio superior para que los usuarios puedan autenticarse en aplicaciones móviles o web con la misma passkey. Si usa múltiples dominios personalizados, también puede configurar rp.id para cada dominio personalizado. Para obtener más información sobre cómo personalizar el RP ID, consulte Configurar la política de passkeys.

Más información