𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

Translated for your language. Leer el original.

AI-assisted draft.

GyaanSetu Editorialanteayer1min de lectura

Passkeys en 2026: Una guía práctica de ingeniería

Las contraseñas han fallado. Dependen de secretos compartidos. Si un servidor almacena una contraseña, duplicas tu superficie de ataque.

Los datos demuestran que el riesgo es masivo. El robo de credenciales causa la mayoría de las brechas de seguridad. El malware de tipo infostealer recolecta millones de contraseñas cada año. Incluso la autenticación de dos factores (2FA) tiene fallos. Los códigos SMS se enfrentan al SIM swapping. Los tokens TOTP se enfrentan al phishing en tiempo real.

Las passkeys cambian esto. Utilizan criptografía de clave pública a través de WebAuthn y FIDO2.

Cómo funcionan: • Tu dispositivo crea un par de claves pública y privada. • La clave privada permanece en tu hardware. • El servidor solo recibe la clave pública. • Durante el inicio de sesión, tu dispositivo firma un desafío (challenge) aleatorio. • Ningún secreto viaja a través de la red.

Esto detiene el phishing porque las passkeys se vinculan a tu dominio específico. Una passkey para tu sitio no funcionará en un sitio falso.

Cómo implementarlas: No escribas código WebAuthn desde cero. Es fácil cometer errores. Usa SimpleWebAuthn para TypeScript y Node.js. Se encarga de las matemáticas complejas por ti.

Instalación: npm install @simplewebauthn/server @simplewebauthn/browser

Errores comunes que se deben evitar: • Reutilizar desafíos. Los desafíos deben ser de un solo uso y generados por el servidor. • Ignorar los contadores. Actualiza siempre el contador de credenciales para detectar claves clonadas. • Olvidar la recuperación. Si un usuario pierde su dispositivo, pierde su cuenta. Construye primero una ruta de recuperación. • Mala experiencia de usuario (UX). Los flujos entre dispositivos suelen tener tasas de finalización más bajas. Mantén una opción de respaldo durante la migración.

Estrategia de migración:

Etapa 1: Ofrece las passkeys como una opción voluntaria (opt-in) después del inicio de sesión con contraseña.
Etapa 2: Convierte las passkeys en el método principal una vez que la mayoría de los usuarios las hayan adoptado.
Etapa 3: Requiere passkeys para todos los nuevos registros.

La industria ya ha avanzado. Google informa de tasas de compromiso de cuentas mucho más bajas con las passkeys. Plataformas importantes como Amazon y TikTok las utilizan. Si no las soportas, te estás quedando atrás.

Fuente: https://dev.to/moksh/passkeys-in-2026-a-practical-engineering-guide-to-passwordless-auth-15pj

𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

Seguir leyendo

𝗪𝗵𝘆 𝗣𝗵𝗶𝗹𝗶𝗽𝗽𝗶𝗻𝗲 𝗦𝗠𝗘𝘀 𝗡𝗲𝗲𝗱 𝗖𝘆𝗯𝗲𝗿𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗶𝗻 𝟮𝟬𝟮𝟲

Mejores prácticas de seguridad en el frontend

Esconder no es lo mismo que asegurar

𝗟𝗼𝘀𝗲 𝗬𝗼𝘂𝗿 𝗣𝗵𝗼𝗻𝗲, 𝗟𝗼𝘀𝗲 𝗬𝗼𝘂𝗿 𝗟𝗶𝗳𝗲

Your SaaS Is Leaking Money