Autenticación 2 min

WebAuthn

Web Authentication API

En una frase

API web estándar que permite a cualquier página ofrecer inicio de sesión con huella, rostro o llave de seguridad, sin contraseñas.

Qué es WebAuthn

WebAuthn es la pieza de FIDO2 que vive en el navegador: una interfaz que las webs usan para pedir al sistema operativo o a una llave externa que cree y use credenciales criptográficas. Está soportada por todos los navegadores modernos.

Cómo funciona

La web llama a navigator.credentials. El navegador habla con el autenticador disponible (sensor de huella, Face ID, Windows Hello, YubiKey). El autenticador verifica al usuario localmente y devuelve una firma. La web comprueba la firma con la clave pública que guardó al registrarte. La clave privada nunca abandona tu dispositivo.

Cómo protegerte

Cuando una web te ofrezca "iniciar sesión con tu dispositivo", "passkey" o "llave de seguridad", actívalo. Como la credencial está vinculada al dominio exacto, un sitio de phishing no puede usarla aunque copies tu huella en él (no podría).

Datos curiosos

Se convirtió en recomendación oficial del W3C en 2019.
Windows Hello, Touch ID y los lectores de huella de Android son "autenticadores de plataforma" para WebAuthn.
Funciona también para 2FA, no solo para login sin contraseña.

Preguntas frecuentes

¿Qué navegadores lo soportan?

Chrome, Edge, Firefox y Safari, en escritorio y móvil. Es ampliamente compatible desde hace años.

¿Mis huellas se envían a la web?

No. La biometría solo desbloquea localmente la clave privada; a la web solo le llega una firma matemática.

¿WebAuthn y FIDO2 son lo mismo?

WebAuthn es la parte de FIDO2 que usan los navegadores. FIDO2 incluye además el protocolo CTAP para las llaves externas.