Asistencia técnica de Dashlane claves de acceso disponible próximamente para Android

Escrito por Rew Islam en colaboración con Guillaume Bouxin

En febrero, Google lanzó el primer avance para desarrolladores para Android 14, un anticipo de la nueva versión de Android, que se espera que se lance a finales de este año.

Este avance para desarrolladores contiene cambios en Android que habilitan a aplicaciones de terceros para administrar claves de acceso. Las claves de acceso son credenciales a prueba de phishing que cumplen con los estándares de FIDO, son el futuro de la autenticación en línea, y se han creado como un reemplazo de contraseñas más seguro y fácil de usar.

Dashlane lleva a la vanguardia de la asistencia técnica de claves de acceso desde que se anunciaron las claves de acceso el año pasado. En agosto, Dashlane presentó la asistencia técnica integrada de claves de acceso en nuestro administrador de contraseñas que da prioridad a la seguridad y presentó la primera solución de claves de acceso integrada en el navegador. Puede probar nuestro avance en el navegador de escritorio Chrome usando la extensión de Dashlane Chrome (esto funcionará en cualquier navegador basado en chromium).

Lo que implica el avance para desarrolladores de Android 14 para las claves de acceso

Entonces, ¿qué resulta interesante sobre este avance para desarrolladores de Android 14? Hasta ahora, solo podía sincronizar sus claves plataforma con los ecosistemas de proveedores de plataformas como el llavero de iCloud en plataformas de Apple o el administrador de contraseñas de Google en Android.

Empresas tecnológicas como Apple, Google y Microsoft llevan años trabajando en la autenticación sin contraseña. Descubra que están haciendo actualmente para prestar asistencia técnica a las claves de acceso.

Si usa un administrador de contraseñas exclusivo, como Dashlane, probablemente esperará que administre sus claves de acceso por usted, tal y como lo hace con sus contraseñas. A diferencia de las contraseñas, el mecanismo de uso de las claves de acceso es más complejo y técnico, aunque esto no es evidente para la experiencia del usuario; de hecho, las claves de acceso son mucho más simples de crear y usar que las contraseñas. Esta complejidad se basa en el software que usa en su dispositivo. En la mayoría de los casos, este será su navegador o su sistema operativo móvil.

Las plataformas móviles como Android y iOS requerirán cambios para habilitar a aplicaciones de terceros como Dashlane para administrar claves de acceso. Estos son los cambios principales que se han incluido en este avance para desarrolladores de Android 14. El usuario puede simplemente crear una clave de acceso usando su huella dactilar en vez de escribir una contraseña. La huella dactilar vincula la acción de autenticación con el usuario del dispositivo, lo que evita que nadie más cree y utilice claves de acceso en este dispositivo concreto.

Vea este vídeo de demostración rápido para ver cómo crear una cuenta nueva en una aplicación de demostración de Android.

Aunque la interfaz de usuario de la hoja inferior (el componente que se desliza desde la parte inferior de su pantalla para mostrar contenido adicional) es parte de Android, de hecho, la clave de acceso la crea Dashlane y la almacena en la caja fuerte del usuario. Cuando inicie sesión, la clave de acceso almacenada en la caja fuerte de Dashlane se usa para iniciar el reto, que valida la autenticación. Para ello, el usuario solo tiene que tocar el sensor de huella dactilar (o como alternativa, escribir el código PIN del dispositivo).

Esta es la primera iteración de Android que habilita a los administradores de contraseñas a administrar claves de acceso, y adelantamos el lanzamiento al público más adelante este año. Busque sitios web que adopten claves de acceso en los próximos meses y años. Una vez que comience a usar claves de acceso, no querrá volver a las contraseñas. Además de permitirle omitir el escribir en cualquier cosa, las claves de acceso también son mucho más seguras que las contraseñas, son fáciles de usar y seguras frente al phishing. Los niveles seguridad más altos a menudo vienen a costa de la usabilidad, pero como puede ver en el video de demostración anterior, no es el caso de las claves de acceso.

Cómo funciona la asistencia técnica de claves de acceso de Dashlane

Existen dos flujos que Dashlane debe implementar. El primero es crear una clave de acceso y guardarla en la caja fuerte de Dashlane cifrada. El segundo es iniciar sesión con una clave de acceso existente. Ambas implementaciones deben cumplir con las especificaciones de WebAuthn para poder funcionar.

Al crear una clave de acceso, Dashlane genera un par de claves asimétricas, guarda la clave privada de forma segura en la caja fuerte del usuario y devuelve la clave pública a la parte de confianza (el sitio web o la aplicación que registra la clave de acceso). Al iniciar sesión con una clave de acceso, la parte de confianza enviará un reto que Dashlane firmará con la clave privada, y enviará la respuesta de nuevo para autenticar al usuario.

Un algoritmo que se utiliza habitualmente para WebAuthn es el algoritmo ECDSA w/ SHA-256 para crear el par de claves y firmar el reto, pero la parte de confianza puede solicitar utilizar un algoritmo diferente.

Generar un par de claves asimétrico en el lenguaje de programación de Kotlin:

val spec = ECGenParameterSpec("secp256r1")
val keyPairGen = KeyPairGenerator.getInstance("EC")
keyPairGen.initialize(spec)
return keyPairGen.genKeyPair()

Firmar un desafío con una clave privada en Kotlin:

val sig = Signature.getInstance("SHA256withECDSA")
sig.initSign(privateKey)
sig.update(challenge)
return sig.sign()

Con Android 14, Dashlane puede usar la biblioteca de credenciales de Jetpack para comunicarse con una aplicación que quiere usar una clave de acceso. Permite invocar una aplicación de terceros cuando existe una solicitud para crear y usar una clave de acceso. Dashlane deberá seleccionarse como un servicio de proveedor de identidad en las opciones del dispositivo, similar al llenado automático que funciona en Android. Actualmente, este flujo solo funciona para aplicaciones nativas, y esperamos disponer de asistencia técnica para sitios web en los próximos avances para desarrolladores.

Si es usted un desarrollador que busca implementar el inicio de sesión con claves de acceso en su aplicación nativa de Android, puede seguir los pasos descritos en esta guía que ofrece Google.

¿Cuándo estará disponible para los usuarios de Dashlane?

La asistencia técnica de claves de acceso de Android para aplicaciones nativas estará disponible con Android 14 y se espera que su lanzamiento se realice en agosto de 2023. Llevará un poco más de tiempo que las aplicaciones y los sitios web adopten las claves de acceso, pero esperamos que este proceso se acelere una vez exista una mayor asistencia técnica para claves de acceso entre los dispositivos que utilizan a diario multitud de personas.