Articulo de referencia

Autenticación web

La autenticación web ( WebAuthn ) es un estándar web publicado por el Consorcio World Wide Web (W3C). [ 1 ] [ 2 ] [ 3 ] Define una API que los sitios web utilizan para autentica...

La autenticación web ( WebAuthn ) es un estándar web publicado por el Consorcio World Wide Web (W3C). [ 1 ] [ 2 ] [ 3 ] Define una API que los sitios web utilizan para autenticarse con credenciales WebAuthn ( claves de acceso [ 4 ] [ 5 ] ) y describe lo que deben hacer los autenticadores WebAuthn. Resuelve muchos de los problemas de la autenticación tradicional basada en contraseñas al verificar la identidad del usuario con firmas digitales . [ 6 ] Aunque WebAuthn se suele promocionar como un reemplazo completo de las contraseñas, la mayoría de los sitios web que lo implementan siguen utilizando contraseñas de alguna manera. [ 7 ]

Para usar WebAuthn, los usuarios necesitan un autenticador compatible. El estándar no especifica cómo almacenar las claves necesarias para la firma, por lo que se pueden usar varios tipos de autenticadores. El tipo de autenticador más común es el autenticador de plataforma, que está integrado en el sistema operativo del dispositivo. Los autenticadores de plataforma comunes incluyen Android , Apple Keychain y Windows Hello . Estos utilizan funciones de seguridad de hardware (como TEE y TPM ) y, a menudo, sincronizan las credenciales entre dispositivos para facilitar su uso. Otro tipo de autenticador común es el autenticador itinerante, donde un dispositivo de hardware independiente autentica al usuario conectándose a través de USB , Bluetooth Low Energy o comunicaciones de campo cercano (NFC). La mayoría de los teléfonos inteligentes se pueden usar como autenticadores itinerantes, y también se utilizan claves de seguridad físicas dedicadas. WebAuthn es efectivamente compatible con versiones anteriores de FIDO Universal 2nd Factor (U2F), ya que ambos usan el protocolo CTAP . [ 8 ] Los administradores de contraseñas también se pueden usar como autenticadores, a menudo con sincronización en la nube. [ 9 ] Cuando la sincronización de credenciales no es viable o posible, se puede utilizar WebAuthn Hybrid Transport para acceder a las credenciales almacenadas en otro autenticador, como un teléfono inteligente. [ 10 ]

Al igual que el U2F tradicional, WebAuthn es resistente a algunos ataques de phishing [ 11 ] , ya que el autenticador solo ofrece credenciales registradas en el mismo sitio web . Sin embargo, a diferencia de U2F, WebAuthn puede implementarse sin contraseña [ 12 ] . Además, un autenticador de hardware itinerante resiste el malware, puesto que las claves se almacenan en un dispositivo independiente, lo que impide que el malware acceda a ellas directamente.

Los estándares WebAuthn de nivel  1 y 2 se publicaron como Recomendaciones del W3C el 4 de marzo de 2019 y el 8 de abril de 2021, respectivamente. [ 1 ] [ 13 ] [ 14 ] Una especificación de nivel 3 es actualmente un Primer Borrador Público de Trabajo (FPWD). [ 15 ] WebAuthn es un componente central del Proyecto FIDO2 bajo la dirección de la Alianza FIDO . [ 16 ]

Fondo

FIDO2 es el sucesor de FIDO Universal 2nd Factor (U2F). Mientras que U2F solo admite el modo multifactor, ya que fue diseñado para fortalecer los flujos de inicio de sesión existentes basados ​​en nombre de usuario/contraseña, FIDO2 agrega soporte para el modo de factor único. En el modo multifactor, el autenticador se activa mediante una prueba de presencia del usuario , que generalmente consiste en presionar un botón; no se requiere contraseña. En el modo de factor único, el autenticador ( algo que usted tiene ) realiza la verificación del usuario . [ 17 ] Dependiendo de las capacidades del autenticador, esto puede ser: [ 18 ]

Independientemente del modo, el autenticador nunca comparte sus secretos ni datos biométricos con el sitio web. [ 19 ] Además, un único secreto o dato biométrico de usuario funciona con todos los sitios web, ya que el autenticador selecciona el material de clave criptográfica correcto para usar con el servicio que solicita la autenticación una vez que la verificación del usuario se ha completado con éxito.

Se puede usar un secreto y un dato biométrico en el autenticador de forma conjunta, de manera similar a como se usarían en un teléfono inteligente . Por ejemplo, la huella dactilar proporciona un acceso cómodo al teléfono inteligente del usuario, pero en ocasiones el acceso mediante huella dactilar falla, en cuyo caso el usuario puede usar un PIN.

Razones para su diseño y estandarización

El W3C diseñó y estandarizó WebAuthn para resolver o mitigar muchos problemas inherentes a la autenticación tradicional basada en contraseñas:

  • Generación y almacenamiento seguros de credenciales: WebAuthn genera credenciales únicas para cada sitio web mediante algoritmos robustos y las almacena de forma segura en autenticadores de confianza. Esto elimina vulnerabilidades comunes como:
    • Contraseñas débiles que pueden ser fácilmente descifradas mediante fuerza bruta debido a su longitud insuficiente.
    • Contraseñas predecibles vulnerables a ataques de diccionario (por ejemplo, "password", "12345678").
    • Contraseñas fáciles de adivinar basadas en información personal (por ejemplo, fechas de nacimiento, direcciones).
    • Almacenamiento deficiente de contraseñas en el lado del cliente (por ejemplo, anotadas o almacenadas en los contactos del teléfono).
    • Se puede reutilizar la contraseña en varios sitios web, ya que las credenciales de WebAuthn están diseñadas para ser específicas de cada sitio web.
    • Requisitos de contraseña inadecuados impuestos por el servidor (por ejemplo, criterios demasiado laxos o restrictivos, límites de longitud máxima arbitrarios, conjuntos de caracteres limitados).
    • Restricciones que impiden el uso de las funciones de autocompletado del gestor de contraseñas.
  • Sin almacenamiento de credenciales en el servidor: La parte privada de una credencial nunca se almacena en un servidor, lo que elimina riesgos y vulnerabilidades como:
    • Almacenamiento inseguro de contraseñas en bases de datos (por ejemplo, en texto plano o utilizando algoritmos/estructuras débiles basados ​​en funciones hash).
    • Filtraciones de bases de datos que exponen contraseñas.
    • Cambios periódicos de contraseña obligatorios e ineficaces.
  • Credenciales únicas para cada sitio web: WebAuthn garantiza que las credenciales sean únicas para cada sitio web, eliminando los siguientes riesgos y vulnerabilidades:
    • Los ataques de relleno de credenciales consisten en que los atacantes utilizan las credenciales de una filtración de datos en varios sitios web.
    • Los ataques de phishing son efectivos, ya que las credenciales no se pueden reutilizar ni aplicar incorrectamente en diferentes sitios web.

Marca de clave de acceso

Aquí se muestra el uso de "passkey" como término para referirse a las credenciales de WebAuthn ( Bitwarden para Pixiv ).

Passkey es el término no técnico de facto para una credencial WebAuthn. [ 5 ] [ 6 ] La mayoría de las interfaces de usuario que admiten WebAuthn usan solo passkey para referirse a las credenciales WebAuthn. [ 7 ]

Cuando Apple presentó por primera vez las claves de acceso al público en 2022, [ 20 ] hizo hincapié en sus integraciones de plataforma de primera parte. Esto, combinado con la falta de comunicación clara por parte de otros líderes de la industria, llevó a algunos a especular que las claves de acceso eran propiedad de Apple, lo cual no era el caso. [ 21 ] A medida que los navegadores y sitios web comenzaron a implementar WebAuthn, los conjuntos de características inconsistentes dieron como resultado una variedad de interpretaciones de lo que exactamente se consideraba una clave de acceso. Algunas personas asumieron que una clave de acceso requería administración por parte de un autenticador de plataforma, o necesitaba sincronización mediante la nube. Una mejor definición es que una clave de acceso es cualquier credencial WebAuthn administrada por cualquier autenticador WebAuthn. [ 5 ] Esta definición cubre la mayor parte de lo que diferentes proveedores denominan y aceptan como claves de acceso .

Descripción general

Al igual que su predecesor FIDO U2F, la autenticación web del W3C (WebAuthn) implica un sitio web , un navegador web y un autenticador: [ 1 ]

  • El sitio web es un proveedor de confianza WebAuthn que cumple con los requisitos.
  • El navegador es un cliente WebAuthn compatible.
  • El autenticador es un autenticador FIDO2, es decir, se asume que es compatible con el cliente WebAuthn.

WebAuthn especifica cómo un reclamante demuestra la posesión y el control de un autenticador FIDO2 ante un verificador denominado Parte Confiable de WebAuthn. El proceso de autenticación está mediado por una entidad llamada Cliente WebAuthn, que no es más que un navegador web compatible.

Autenticación

Un flujo típico de autenticación web (WebAuthn)
Ejemplo de autenticación WebAuthn con el Administrador de credenciales de Android

El autenticador es un autenticador criptográfico multifactor que utiliza criptografía de clave pública para firmar una aserción de autenticación dirigida a la parte confiable de WebAuthn. Suponiendo que el autenticador utilice reconocimiento facial , huella dactilar o PIN para la verificación del usuario, el autenticador en sí es algo que usted posee, mientras que el reconocimiento facial y la huella dactilar (biométricos) son algo que usted es , y el PIN es algo que usted sabe .

Para iniciar el flujo de autenticación WebAuthn, [ 22 ] la parte confiable de WebAuthn indica sus intenciones al cliente WebAuthn (es decir, el navegador) mediante JavaScript . El cliente WebAuthn se comunica con el autenticador mediante una API de JavaScript implementada en el navegador. Un autenticador itinerante cumple con el protocolo FIDO Cliente a Autenticador (CTAP), [ 23 ] y se conecta mediante USB , Bluetooth de bajo consumo o comunicaciones de campo cercano (NFC).

WebAuthn no requiere estrictamente un autenticador de hardware itinerante. Como alternativa, se puede utilizar un autenticador de software (por ejemplo, implementado en un teléfono inteligente) o un autenticador de plataforma (es decir, un autenticador implementado directamente en el dispositivo cliente de WebAuthn). Algunos ejemplos relevantes de autenticadores de plataforma son Windows Hello [ 24 ] y el sistema operativo Android [ 25 ] .

WebAuthn Hybrid Transport permite que el cliente WebAuthn acceda a las credenciales almacenadas en otro autenticador, como un teléfono inteligente, lo cual resulta útil en ciertas situaciones donde la sincronización de credenciales no es viable. [ 10 ]

Persiste la idea errónea entre los usuarios de que los datos biométricos se transmiten a través de la red de la misma manera que las contraseñas, lo cual no es cierto. [ 26 ] [ 27 ]

Registro

Cuando la parte que confía en WebAuthn recibe la aserción de autenticación firmada del navegador, la firma digital de la aserción se verifica utilizando una clave pública de confianza para el usuario.

Para obtener una clave pública para el usuario, la parte confiable de WebAuthn inicia un flujo de registro de WebAuthn [ 28 ] similar al flujo de autenticación ilustrado anteriormente. La principal diferencia radica en que el autenticador ahora firma una declaración de atestación con su clave privada de atestación. La declaración de atestación firmada contiene una copia de la clave pública que la parte confiable de WebAuthn utiliza finalmente para verificar una aserción de autenticación firmada. El certificado de atestación contiene metadatos que describen al propio autenticador. [ 29 ]

La firma digital en la declaración de atestación se verifica con la clave pública de atestación de confianza para ese modelo de autenticador en particular. No se especifica cómo la parte confiable de WebAuthn obtiene su almacén de claves públicas de atestación de confianza. Una opción es utilizar el servicio de metadatos FIDO. [ 30 ]

El tipo de certificación especificado en JavaScript determina el modelo de confianza. Por ejemplo, puede ser deseable un tipo de certificación llamado autocertificación, para el cual el modelo de confianza es esencialmente la confianza en el primer uso .

Apoyo

Ejemplo de clave de acceso WebAuthn como parte del gestor de contraseñas Bitwarden

El estándar WebAuthn Nivel  1 fue publicado como una Recomendación del W3C por el Grupo de Trabajo de Autenticación Web el 4 de marzo de 2019. [ 1 ] [ 13 ] [ 31 ] WebAuthn es compatible con Google Chrome , Mozilla Firefox , Microsoft Edge , Apple Safari [ 13 ] y Opera . [ 32 ]

La versión de escritorio de Google Chrome ha sido compatible con WebAuthn desde la versión 67. [ 33 ] Firefox, que no había sido totalmente compatible con el estándar FIDO U2F anterior, incluyó y habilitó WebAuthn en la versión 60 de Firefox, lanzada el 9 de mayo de 2018. [ 34 ] Una versión temprana de Windows Insider de Microsoft Edge (Build 17682) implementó una versión de WebAuthn que funciona tanto con Windows Hello como con claves de seguridad externas. [ 35 ]

Las claves de seguridad FIDO U2F existentes son en gran medida compatibles con el estándar WebAuthn, aunque WebAuthn agregó la capacidad de hacer referencia a un identificador único de "manejador de usuario" por cuenta, que los autenticadores más antiguos no pueden almacenar. [ 1 ]

Uno de los primeros autenticadores compatibles con FIDO2 fue la Security Key de segunda generación de Yubico, anunciada el 10 de abril de 2018. [ 36 ] El primer autenticador compatible con FIDO2 con pantalla fue el Trezor Model T de SatoshiLabs, anunciado el 6 de noviembre de 2019. [ 37 ] El Trezor Model T también fue el primer autenticador que permitió a los usuarios seleccionar qué credencial residente de FIDO2 se debía usar directamente en un dispositivo.

La primera clave FIDO2 con certificación de Nivel de Seguridad 2, llamada "Goldengate", fue anunciada un año después por eWBM el 8 de abril de 2019. [ 38 ] [ 39 ]

Dropbox anunció el soporte para inicios de sesión WebAuthn (como segundo factor) el 8 de mayo de 2018. [ 40 ]

Apple anunció el 24 de junio de 2020 que Face ID o Touch ID podrían usarse como autenticador de plataforma WebAuthn con Safari. [ 41 ]

Varios gestores de contraseñas como Bitwarden y Dashlane admiten WebAuthn. [ 42 ] [ 43 ]

API

WebAuthn implementa una extensión de la API de administración de credenciales más general del W3C , que busca formalizar la interacción entre sitios web y navegadores web al intercambiar credenciales de usuario. La API de autenticación web [ 44 ] [ 45 ] extiende los métodos de administración de credenciales y JavaScript para que acepten un parámetro. El método se utiliza para registrar autenticadores de clave pública como parte de su asociación con cuentas de usuario (posiblemente al crear la cuenta inicialmente, pero más probablemente al agregar un nuevo dispositivo de seguridad a una cuenta existente), mientras que el método se utiliza para autenticar (por ejemplo, al iniciar sesión).navigator.credentials.create()navigator.credentials.get()publicKeycreate()get()

Para comprobar si un navegador admite WebAuthn, los scripts deben verificar si la window.PublicKeyCredentialinterfaz está definida. Además de PublicKeyCredential, el estándar también define las interfaces AuthenticatorResponse, AuthenticatorAttestationResponsey AuthenticatorAssertionResponseademás de una variedad de diccionarios y otros tipos de datos.

La API no permite el acceso directo ni la manipulación de las claves privadas, más allá de solicitar su creación inicial.

Recepción

En agosto de 2018, Paragon Initiative Enterprises realizó una auditoría de seguridad del estándar WebAuthn. Si bien no encontraron ninguna vulnerabilidad específica , sí revelaron algunas debilidades importantes en la forma en que se utiliza la criptografía subyacente y en cómo la exige el estándar. [ 46 ]

Los principales puntos de crítica giran en torno a dos problemas potenciales que resultaron problemáticos en otros sistemas criptográficos en el pasado y que, por lo tanto, deben evitarse para no ser víctimas del mismo tipo de ataques:

  • Mediante el uso obligatorio de COSE ( RFC  8152 ), WebAuthn también admite RSA con relleno PKCS1v1.5 . Se sabe desde hace al menos veinte años que este esquema de relleno es vulnerable a ataques específicos , y en el pasado se ha logrado explotarlo en otros protocolos e implementaciones del criptosistema RSA. Si bien es difícil explotarlo en las condiciones dadas en el contexto de WebAuthn, dado que existen primitivas criptográficas y esquemas de relleno más seguros, sigue siendo una mala elección y los criptógrafos ya no lo consideran la mejor práctica.
  • La Alianza FIDO estandarizó el esquema criptográfico asimétrico ECDAA . [ 47 ] Esta es una versión de la atestación anónima directa basada en curvas elípticas y, en el caso de WebAuthn, se utiliza para verificar la integridad de los autenticadores, preservando al mismo tiempo la privacidad de los usuarios, ya que no permite la correlación global de identificadores. Sin embargo, ECDAA no incorpora algunas de las lecciones aprendidas en las últimas décadas de investigación en el área de la criptografía de curva elíptica , ya que la curva elegida presenta ciertas deficiencias de seguridad inherentes a este tipo de curva, lo que reduce sustancialmente las garantías de seguridad. Además, el estándar ECDAA implica firmas aleatorias y no deterministas, lo que ya ha sido un problema en el pasado.

Paragon Initiative Enterprises también criticó la forma en que se desarrolló inicialmente el estándar, ya que la propuesta no se hizo pública con antelación y no se solicitó la opinión ni los comentarios de criptógrafos experimentados. Por lo tanto, el estándar no fue sometido a una amplia investigación criptográfica por parte del ámbito académico.

A pesar de estas deficiencias, Paragon Initiative Enterprises sigue animando a los usuarios a continuar utilizando WebAuthn, pero ha formulado algunas recomendaciones para los posibles implementadores y desarrolladores del estándar, con la esperanza de que puedan implementarse antes de su finalización. Evitar estos errores cuanto antes protegería al sector de los problemas derivados de estándares defectuosos y de la necesidad de compatibilidad con versiones anteriores .

ECDAA se diseñó únicamente para usarse en combinación con la atestación del dispositivo. Esta característica particular de WebAuthn no es necesariamente necesaria para que la autenticación funcione. Las implementaciones actuales permiten al usuario decidir si se envía una declaración de atestación durante el proceso de registro. De forma independiente, las partes confiables pueden optar por requerir o no la atestación. ECDAA se eliminó de WebAuthn Nivel 2, ya que no estaba implementado ni por los navegadores ni por las partes confiables. [ 48 ]

En los medios

WebAuthn, conocido popularmente como "passkeys", ha recibido reacciones encontradas por parte del público:

  • Troy Hunt : "Las contraseñas son uno de los pocos mecanismos de seguridad que facilitan la vida, en lugar de complicarla." [ 49 ] "Es un inicio de sesión con un solo clic, y al hacer clic en el botón morado obtengo acceso inmediato a mi cuenta." [ 49 ]
  • Dan Goodin: "La tecnología de clave de acceso es elegante, pero definitivamente no es una seguridad práctica." [ 7 ]
  • Bruce Davie : "...la implementación parece no haber superado la prueba de 'facilitar el uso a los usuarios', que en mi opinión es la esencia de las claves de acceso. Llevo más de 30 años utilizando criptografía de clave pública ... Si a mí me resulta confuso usar claves de acceso, no es un buen augurio para los usuarios más comunes." [ 50 ]

Véase también

Referencias

  1. 1 2 3 4 5 Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, JC; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil (eds.). "Autenticación web: una API para acceder a credenciales de clave pública de nivel  1 (última versión)" . Consorcio World Wide Web . Archivado del original el 14 de marzo de 2019. Recuperado el 4 de marzo de 2019 .
  2. "Grupo de trabajo sobre autenticación web" . Consorcio World Wide Web . Archivado del original el 15 de mayo de 2016. Consultado el 11 de mayo de 2018 .
  3. Strickland, Jonathan (18 de marzo de 2019). "¿Qué es WebAuthn?" . TechStuff . iHeartMedia . Minuto 20:35. Archivado del original el 25 de junio de 2021. Recuperado el 20 de marzo de 2019 .
  4. "Libro Blanco: Credenciales FIDO para múltiples dispositivos" (PDF) . Alianza FIDO . Marzo de 2022. pág. 6. Archivado (PDF) del original el 16 de junio de 2024. Consultado el 20 de mayo de 2024 . 
  5. 1 2 3 Brown, William (abril de 2024). "webauthn-rs docs" . Docs.rs. Proyecto de gestión de identidades Kanidm. Archivado del original el 12 de junio de 2025. Recuperado el 3 de julio de 2025 .
  6. 1 2 Langley, Adam (23 de diciembre de 2024). "Un recorrido por WebAuthn" . Imperial Violet . Recuperado el 13 de agosto de 2025 .
  7. 1 2 3 Goodin, Dan. "La tecnología de claves de acceso es elegante, pero definitivamente no es una seguridad práctica" . Ars Technica. Archivado del original el 3 de julio de 2025. Recuperado el 3 de julio de 2025 .
  8. "WebAuthn / CTAP: Autenticación moderna" (PDF) . Consorcio World Wide Web . 10 de diciembre de 2018. Archivado (PDF) del original el 4 de diciembre de 2020. Recuperado el 11 de marzo de 2019 .
  9. "¿Acabarán las claves de acceso con los gestores de contraseñas?" . Corbado . 1 de junio de 2023 . Consultado el 18 de septiembre de 2025 .
  10. 1 2 "Códigos QR de clave de acceso WebAuthn y Bluetooth: transporte híbrido" . Corbado . 8 de noviembre de 2023. Recuperado el 18 de septiembre de 2025 .
  11. Kan, Michael (7 de marzo de 2019). "Google: Los ataques de phishing que pueden burlar la autenticación de dos factores están en aumento" . PC Magazine. Archivado del original el 8 de marzo de 2019. Recuperado el 8 de marzo de 2019 .
  12. "La autenticación práctica sin contraseña está un paso más cerca con WebAuthn" . Ars Technica . 10 de abril de 2018. Archivado del original el 1 de enero de 2025. Consultado el 16 de octubre de 2024 .
  13. 1 2 3 "La Alianza W3C y FIDO finaliza el estándar web para inicios de sesión seguros y sin contraseña" . Consorcio World Wide Web . 4 de marzo de 2019. Archivado del original el 4 de marzo de 2019. Recuperado el 4 de marzo de 2019 .
  14. Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, JC; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Lundberg, Emil, eds. (8 de abril de 2021). "Autenticación web: una API para acceder a credenciales de clave pública de nivel 2" (última edición). Consorcio World Wide Web . Archivado del original el 4 de junio de 2019. Recuperado el 27 de noviembre de 2022 .  
  15. Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, JC; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Lundberg, Emil, eds. (4 de abril de 2021). "Autenticación web: una API para acceder a credenciales de clave pública de nivel 3" (primer borrador público de trabajo ). Consorcio World Wide Web . Archivado del original el 25 de febrero de 2022. Recuperado el 24 de diciembre de 2021 . 
  16. "Proyecto FIDO2" . Alianza FIDO. Archivado del original el 22 de abril de 2018. Consultado el 11 de mayo de 2018 .
  17. "Presencia del usuario vs. Verificación del usuario" . Archivado del original el 19 de febrero de 2024. Consultado el 19 de febrero de 2024 .
  18. Baghdasaryan, Davit; Hill, Brad (2 de julio de 2018). "Registro FIDO de Valores Predefinidos" . fidoalliance.org . Alianza FIDO. Archivado del original el 4 de diciembre de 2020. Recuperado el 16 de junio de 2019 .
  19. "Autenticación web: una API para acceder a credenciales de clave pública de nivel 1 § Terminología: verificación de usuario" . www.w3.org . W3C. 4 de marzo de 2019. Archivado del original el 7 de junio de 2017. Consultado el 16 de junio de 2019 .
  20. Clemons, Taylor (6 de junio de 2022). "WWDC 2022: Apple anuncia la función Passkey para eliminar las contraseñas en todas las plataformas" . ZD Net. Archivado del original el 6 de junio de 2023. Recuperado el 4 de julio de 2025 .
  21. Shakir, Umar (6 de agosto de 2022). "Recordatorio: las claves de acceso no son solo de Apple" . The Verge. Archivado del original el 24 de septiembre de 2023. Recuperado el 4 de julio de 2025 .
  22. "API de autenticación web" . Mozilla . Sección Autenticación . Archivado del original el 28 de noviembre de 2020. Consultado el 18 de marzo de 2019 .
  23. Brand, Christiaan; Czeskis, Alexei; Ehrensvärd, Jakob; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Powers, Adam; Verrept, Johan, eds. (30 de enero de 2019). "Protocolo de cliente a autenticador (CTAP)" . Alianza FIDO. Archivado del original el 8 de marzo de 2019. Recuperado el 7 de marzo de 2019 .
  24. Simons, Alex (20 de noviembre de 2018). "Inicio de sesión seguro sin contraseña para tu cuenta de Microsoft mediante una clave de seguridad o Windows Hello" . Microsoft . Consultado el 6 de marzo de 2019 .
  25. "Android ahora cuenta con la certificación FIDO2, acelerando la migración global más allá de las contraseñas" . BARCELONA: FIDO Alliance . 25 de febrero de 2019. Archivado del original el 7 de marzo de 2019. Consultado el 6 de marzo de 2019 .
  26. "Touch ID y más allá: los planes de Duo para WebAuthn" . Duo Security. 5 de marzo de 2019. Archivado del original el 21 de marzo de 2020. Consultado el 8 de marzo de 2019 .
  27. Steele, Nick (27 de febrero de 2019). "Cómo WebAuthn pretende resolver el problema de las contraseñas" . Help Net Security. Archivado del original el 28 de septiembre de 2020. Recuperado el 8 de marzo de 2019 .
  28. "API de autenticación web" . Mozilla . Sección Registro . Archivado del original el 28 de noviembre de 2020. Consultado el 18 de marzo de 2019 .
  29. "Atestación y aserción - API web" . MDN Web Docs . 28 de mayo de 2025. Consultado el 20 de septiembre de 2025 .
  30. "Servicio de metadatos" . Alianza FIDO . Consultado el 18 de marzo de 2019 .
  31. Protalinski, Emil (4 de marzo de 2019). "El W3C aprueba WebAuthn como estándar web para inicios de sesión sin contraseña" . Archivado del original el 4 de marzo de 2019. Recuperado el 4 de marzo de 2019 .
  32. "¿Puedo usar la API de autenticación web?" . Archivado del original el 19 de febrero de 2018 . Consultado el 7 de marzo de 2019 .
  33. Brand, Christiaan (3 de junio de 2018). "Habilitación de la autenticación fuerte con WebAuthn" . Google Developers . Archivado del original el 4 de septiembre de 2018. Recuperado el 25 de junio de 2018 .
  34. Shankland, Stephen (9 de mayo de 2018). "Firefox lleva a los navegadores al futuro sin contraseña con la tecnología WebAuthn" . CNET . Archivado del original el 12 de mayo de 2018. Recuperado el 11 de mayo de 2018 .
  35. Sarkar; et al. (23 de mayo de 2018). "Anuncio de la compilación 17682 de Windows 10 Insider Preview" . Microsoft. Archivado del original el 7 de abril de 2019. Recuperado el 25 de junio de 2018 . 
  36. "Yubico lanza un nuevo programa para desarrolladores y una clave de seguridad para las especificaciones FIDO2 y WebAuthn del W3C" (Comunicado de prensa). 10 de abril de 2018. Archivado del original el 7 de mayo de 2018. Consultado el 11 de mayo de 2018 .
  37. "Olvídese de las contraseñas, FIDO2 ya está disponible en Trezor Model T" . 6 de noviembre de 2019. Consultado el 6 de noviembre de 2019 .
  38. "eWBM: El lector de huellas dactilares Goldengate de eWBM es el primero en obtener la certificación FIDO L2" (Comunicado de prensa). 8 de abril de 2019. Archivado del original el 1 de enero de 2020. Consultado el 15 de junio de 2019 .
  39. "Mobile ID World, Alex Perala: El lector de huellas dactilares Goldengate de eWBM es el primero en obtener la certificación FIDO L2" (Comunicado de prensa). 9 de abril de 2019. Archivado del original el 12 de agosto de 2020. Consultado el 15 de junio de 2019 .
  40. Girardeau, Brad (8 de mayo de 2018). "Presentación de la compatibilidad con WebAuthn para el inicio de sesión seguro en Dropbox" . Blog técnico de Dropbox . Dropbox. Archivado del original el 12 de mayo de 2018. Recuperado el 11 de mayo de 2018 .
  41. "Notas de la versión de Safari 14" . Documentación para desarrolladores de Apple . 16 de diciembre de 2022. Archivado del original el 14 de mayo de 2021. Consultado el 16 de diciembre de 2022 .
  42. Porter, Jon (2 de noviembre de 2023). "Bitwarden comienza a agregar soporte para claves de acceso a su gestor de contraseñas" . The Verge . Archivado del original el 17 de julio de 2025. Recuperado el 12 de agosto de 2025 .
  43. Pegoraro, Rob (30 de julio de 2024). "Estos son los servicios que experimentan el mayor aumento en la adopción de claves de acceso" . PC Magazine UK . Archivado del original el 8 de noviembre de 2024. Recuperado el 12 de agosto de 2025 .
  44. "API de autenticación web" . Mozilla . Archivado del original el 28 de noviembre de 2020. Consultado el 16 de marzo de 2019 .
  45. Ackermann, Yuriy (15 de enero de 2019). "Introducción a la API WebAuthn" . Medium. Archivado del original el 29 de marzo de 2019. Recuperado el 8 de marzo de 2019 .
  46. "Problemas de seguridad relacionados con WebAuthn: No implemente ECDAA (todavía)" . Blog de Paragon Initiative Enterprises. 23 de agosto de 2018. Archivado del original el 10 de octubre de 2018. Consultado el 9 de octubre de 2018 .
  47. «Algoritmo FIDO ECDAA» . Alianza FIDO. 27 de febrero de 2018 . Consultado el 9 de octubre de 2018 .
  48. "¿Eliminar ECDAA? · Problema n.° 1410 · w3c/webauthn" . GitHub . 28 de abril de 2020. Consultado el 3 de junio de 2020 .
  49. 1 2 Hunt, Troy (5 de mayo de 2025). "Passkeys for Normal People" . Troy Hunt . Archivado del original el 13 de mayo de 2025. Recuperado el 13 de agosto de 2025 .
  50. Davie, Bruce (17 de noviembre de 2024). "¿Alguna vez las claves de acceso reemplazarán a las contraseñas? ¿Es posible?" . The Register . Archivado del original el 25 de julio de 2025. Recuperado el 13 de agosto de 2025 .
  • Autenticación web: una API para acceder a credenciales de clave pública.
  • Grupo de trabajo sobre autenticación web
  • API de autenticación web en MDN
  • Autenticación web impresionante
  • Documentación de GitHub: Acerca de las claves de acceso
  • Adam Langley: Un recorrido por WebAuthn