Compatibilidad con passkeys en Windows

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

Las claves de acceso proporcionan un método más seguro y cómodo para iniciar sesión en sitios web y aplicaciones en comparación con las contraseñas. A diferencia de las contraseñas, que los usuarios deben recordar y escribir, las claves de paso se almacenan como secretos en un dispositivo y pueden usar el mecanismo de desbloqueo de un dispositivo (como la biometría o un PIN). Las claves de acceso se pueden usar sin necesidad de otros desafíos de inicio de sesión, lo que hace que el proceso de autenticación sea más rápido, seguro y más cómodo.

Puede usar passkeys con cualquier aplicación o sitio web que los admita para crear e iniciar sesión con Windows Hello. Una vez que se crea y almacena una clave de paso con Windows Hello, puedes usar la biometría o el PIN del dispositivo para iniciar sesión. Como alternativa, puede usar un dispositivo complementario (teléfono o tableta) para iniciar sesión.

Nota

A partir de Windows 11, versión 22H2 con KB5030310, Windows proporciona una experiencia nativa para la administración de claves de paso. Sin embargo, las claves de paso se pueden usar en todas las versiones admitidas de los clientes de Windows.

En este artículo se describe cómo crear y usar passkeys en dispositivos Windows.

Funcionamiento de las claves de paso

Microsoft ha sido durante mucho tiempo miembro fundador de FIDO Alliance y ha ayudado a definir y usar las claves de paso de forma nativa dentro de un autenticador de plataforma como Windows Hello. Las claves de paso usan el estándar de seguridad del sector FIDO, que es adoptado por todas las plataformas principales. Las empresas tecnológicas líderes, como Microsoft, respaldan las claves de acceso como parte de FIDO Alliance, y numerosos sitios web y aplicaciones integran compatibilidad con las claves de acceso.

Los protocolos FIDO se basan en técnicas de criptografía de clave pública o privada estándar para ofrecer una autenticación más segura. Cuando un usuario se registra con un servicio en línea, su dispositivo cliente genera un nuevo par de claves. La clave privada se almacena de forma segura en el dispositivo del usuario, mientras que la clave pública se registra con el servicio. Para autenticarse, el dispositivo cliente debe demostrar que posee la clave privada mediante la firma de un desafío. Las claves privadas solo se pueden usar después de que el usuario las desbloquee mediante el factor de desbloqueo de Windows Hello (biometría o PIN).

Los protocolos FIDO priorizan la privacidad de los usuarios, ya que están diseñados para evitar que los servicios en línea compartan información o realicen un seguimiento de los usuarios en distintos servicios. Además, cualquier información biométrica usada en el proceso de autenticación permanece en el dispositivo del usuario y no se transmite a través de la red ni al servicio.

Claves de paso en comparación con contraseñas

Las claves de acceso tienen varias ventajas sobre las contraseñas, incluida su facilidad de uso y su naturaleza intuitiva. A diferencia de las contraseñas, las claves de acceso son fáciles de crear, no es necesario recordarlas y no es necesario protegerlas. Además, las claves de paso son únicas para cada sitio web o aplicación, lo que impide su reutilización. Son muy seguros porque solo se almacenan en los dispositivos del usuario, y el servicio solo almacena las claves públicas. Las claves de acceso están diseñadas para evitar que los atacantes puedan adivinarlos u obtenerlos, lo que ayuda a que sean resistentes a los intentos de suplantación de identidad (phishing) en los que el atacante podría intentar engañar al usuario para que revele la clave privada. Los exploradores o sistemas operativos aplican las claves de paso para que solo se usen para el servicio adecuado, en lugar de depender de la verificación humana. Por último, las claves de paso proporcionan autenticación multiplataforma y entre dispositivos, lo que significa que se puede usar una clave de paso de un dispositivo para iniciar sesión en otro dispositivo.

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten passkeys:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
Sí	Sí	Sí	Sí

Los derechos de licencia de passkeys se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
Sí	Sí	Sí	Sí	Sí

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Experiencias de usuario

Creación de una clave de paso

De forma predeterminada, Windows ofrece guardar la clave de paso localmente en el dispositivo Windows, en cuyo caso la clave de paso está protegida por Windows Hello (biometría y PIN). También puede optar por guardar la clave de paso en una de las siguientes ubicaciones:

• iPhone, iPad o dispositivo Android: la clave de acceso se guarda en un teléfono o tableta, protegido por la biometría del dispositivo, si lo ofrece el dispositivo. Esta opción requiere que digitalices un código QR con tu teléfono o tableta, que debe estar cerca del dispositivo Windows.
• Dispositivo vinculado: la clave de paso se guarda en un teléfono o tableta, protegido por la biometría del dispositivo, si lo ofrece el dispositivo. Esta opción requiere que el dispositivo vinculado esté cerca del dispositivo Windows y solo se admite para dispositivos Android.
• Clave de seguridad: la clave de paso se guarda en una clave de seguridad FIDO2, protegida por el mecanismo de desbloqueo de la clave (por ejemplo, biometría o PIN)

Elija una de las siguientes opciones para aprender a guardar una clave de acceso, en función de dónde quiera almacenarla.

Dispositivo Windows

1. Abrir un sitio web o una aplicación que admita passkeys

2. Creación de una clave de paso a partir de la configuración de la cuenta

3. Seleccione la opción Usar otro dispositivo>Siguiente

4. Seleccione Este dispositivo> WindowsSiguiente

5. Seleccione un método de verificación de Windows Hello y continúe con la comprobación y, a continuación, seleccione Aceptar.

6. La clave de paso se guarda en el dispositivo Windows. Para confirmar, seleccione Aceptar.

Teléfono o tableta nuevos

1. Abrir un sitio web o una aplicación que admita passkeys

2. Creación de una clave de paso a partir de la configuración de la cuenta

3. Seleccione la opción Usar otro dispositivo>Siguiente

4. Seleccione iPhone, iPad o dispositivo> AndroidSiguiente

5. Escanea el código QR con tu teléfono o tableta. Espere a que se establezca la conexión al dispositivo y siga las instrucciones para guardar la clave de paso.

6. Una vez que la clave de acceso se guarde en el teléfono o tableta, seleccione Aceptar.

Teléfono o tableta vinculados

1. Abrir un sitio web o una aplicación que admita passkeys

2. Creación de una clave de paso a partir de la configuración de la cuenta

3. Seleccione la opción Usar otro dispositivo>Siguiente

4. Seleccione el nombre del dispositivo vinculado (por ejemplo, Píxel) >Siguiente

5. Una vez establecida la conexión al dispositivo vinculado, siga las instrucciones del dispositivo para guardar la clave de paso.

6. Una vez que la clave de acceso se guarde en el dispositivo vinculado, seleccione Aceptar.

Clave de seguridad

1. Abrir un sitio web o una aplicación que admita passkeys

2. Creación de una clave de paso a partir de la configuración de la cuenta

3. Seleccione la opción Usar otro dispositivo>Siguiente

4. Seleccione Clave> de seguridadSiguiente

5. Seleccione Aceptar para confirmar que desea configurar una clave de seguridad y desbloquear la clave de seguridad mediante el mecanismo de desbloqueo de la clave.

6. Una vez guardada la clave de paso en la clave de seguridad, seleccione Aceptar.

Uso de una clave de paso

Cuando abres un sitio web o una aplicación que admite passkeys, si una clave de acceso se almacena localmente, se te pedirá automáticamente que uses Windows Hello para iniciar sesión. También puede elegir usar una clave de paso de una de las siguientes ubicaciones:

• iPhone, iPad o dispositivo Android: usa esta opción si quieres iniciar sesión con una clave de acceso almacenada en un teléfono o tableta. Esta opción requiere que digitalices un código QR con tu teléfono o tableta, que debe estar cerca del dispositivo Windows.
• Dispositivo vinculado: use esta opción si desea iniciar sesión con una clave de acceso almacenada en un dispositivo que se encuentra cerca del dispositivo Windows. Esta opción solo es compatible con dispositivos Android
• Clave de seguridad: use esta opción si desea iniciar sesión con una clave de acceso almacenada en una clave de seguridad FIDO2.

Elija una de las siguientes opciones para aprender a usar una clave de paso, en función de dónde la guardó.

Dispositivo Windows

1. Abrir un sitio web o una aplicación que admita passkeys

2. Seleccione Iniciar sesión con una clave de acceso o una opción similar.

3. Seleccione la opción Usar otro dispositivo>Siguiente

4. Seleccione Este dispositivo> WindowsSiguiente

5. Seleccionar una opción de desbloqueo de Windows Hello

6. Seleccione Aceptar para continuar iniciando sesión.

Teléfono o tableta

1. Abrir un sitio web o una aplicación que admita passkeys

2. Seleccione Iniciar sesión con una clave de acceso o una opción similar.

3. Seleccione la opción Usar otro dispositivo>Siguiente

4. Seleccione iPhone, iPad o dispositivo> AndroidSiguiente

5. Escanea el código QR con tu teléfono o tableta donde guardaste la clave de acceso. Una vez establecida la conexión al dispositivo, siga las instrucciones para usar la clave de paso.

6. Ha iniciado sesión en el sitio web o la aplicación.

Teléfono o tableta vinculados

1. Abrir un sitio web o una aplicación que admita passkeys

2. Seleccione Iniciar sesión con una clave de acceso o una opción similar.

3. Seleccione la opción Usar otro dispositivo>Siguiente

4. Seleccione el nombre del dispositivo vinculado (por ejemplo, Píxel) >Siguiente

5. Una vez establecida la conexión al dispositivo vinculado, siga las instrucciones del dispositivo para usar la clave de paso.

6. Ha iniciado sesión en el sitio web o la aplicación.

Clave de seguridad

1. Abrir un sitio web o una aplicación que admita passkeys

2. Seleccione Iniciar sesión con una clave de acceso o una opción similar.

3. Seleccione la opción Usar otro dispositivo>Siguiente

4. Seleccione Clave> de seguridadSiguiente

5. Desbloqueo de la clave de seguridad mediante el mecanismo de desbloqueo de la clave

6. Ha iniciado sesión en el sitio web o la aplicación.

Administración de claves de paso

A partir de Windows 11, versión 22H2 con KB5030310, puedes usar la aplicación Configuración para ver y administrar las claves de acceso guardadas para aplicaciones o sitios web. Vaya a Cuentas de configuración Passkeys (Contraseñas de cuentas > de configuración>) o use el siguiente acceso directo:

Administración de claves de paso

• Se muestra una lista de claves de acceso guardadas y puede filtrarlas por nombre.
• Para eliminar una clave de paso, seleccione ... > Eliminar clave de paso junto al nombre de la clave de paso

Nota

Algunas claves de acceso para login.microsoft.com no se pueden eliminar, ya que se usan con el identificador de Microsoft Entra o la cuenta microsoft para iniciar sesión en el dispositivo y los servicios de Microsoft.

Claves de paso en entornos restringidos por Bluetooth

Para escenarios de autenticación entre dispositivos de clave de paso, tanto el dispositivo Windows como el dispositivo móvil deben tener Bluetooth habilitado y conectado a Internet. Esto permite al usuario autorizar a otro dispositivo de forma segura a través de Bluetooth sin transferir ni copiar la propia clave de paso.

Algunas organizaciones restringen el uso de Bluetooth, lo que incluye el uso de passkeys. En tales casos, las organizaciones pueden permitir passkeys al permitir el emparejamiento de Bluetooth exclusivamente con autenticadores FIDO2 habilitados para passkey.

Para limitar el uso de Bluetooth a solo casos de uso de clave de paso, use el CSP de directiva de Bluetooth y el CSP de directiva deviceinstallation.

Configuración de dispositivos

En las instrucciones siguientes se proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Intune/CSP

Para configurar dispositivos con Microsoft Intune, puede usar una directiva personalizada con esta configuración:

Ajuste
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/Permitir publicidad Tipo de datos: Entero Valor: 0 Cuando se establece en 0, el dispositivo no envía anuncios.
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowDiscoverableMode Tipo de datos: Entero Valor: 0 Cuando se establece en 0, otros dispositivos no pueden detectar el dispositivo.
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPrepairing Tipo de datos: Entero Valor: 0 Evita que periféricos Bluetooth agrupados específicos se emparejen automáticamente con el dispositivo host.
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPromptedProximalConnections Tipo de datos: Entero Valor: 0 Impide que los usuarios usen Swift Pair y otros escenarios basados en proximidad.
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/ServicesAllowedList Tipo de datos: String Valor: {0000FFFD-0000-1000-8000-00805F9B34FB};{0000FFF9-0000-1000-8000-00805F9B34FB} Establezca una lista de perfiles y servicios Bluetooth permitidos: - Servicio FIDO Alliance Universal Second Factor Authenticator (0000fffd-0000-1000-8000-00805f9b34fb) - Servicio de transporte seguro de cliente a autenticador FIDO2 (0000FFF9-0000-1000-8000-00805F9B34FB) Para obtener más información, consulte el documento FIDO CTAP 2.1 standard specification and Bluetooth Assigned Numbers (Especificación estándar y números asignados por Bluetooth de FIDO CTAP 2.1).
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs Tipo de datos: String Valor: <enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;BTH\MS_BTHPAN"/> Deshabilita el adaptador de red Bluetooth Personal Area Network (PAN) existente, lo que impide la instalación del adaptador de red Bluetooth que se puede usar para la conectividad de red o el anclaje.

PowerShell

Configure los dispositivos mediante scripts de PowerShell a través del proveedor WMI del puente MDM.

Importante

Para toda la configuración del dispositivo, el cliente del puente WMI debe ejecutarse como cuenta SYSTEM (LocalSystem).

Para probar el script de PowerShell, puede hacer lo siguiente:

1. Descargar la herramienta psexec
2. Abrir un símbolo del sistema con privilegios elevados y ejecutar: psexec.exe -i -s powershell.exe
3. Ejecutar el script en la sesión de PowerShell

# Bluetooth configuration
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_Policy_Config01_Bluetooth02"
New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{
    ParentID="./Vendor/MSFT/Policy/Config";
    InstanceID="Bluetooth";
    AllowDiscoverableMode=0;
    AllowAdvertising=0;
    AllowPrepairing=0;
    AllowPromptedProximalConnections=0;
    ServicesAllowedList="{0000FFF9-0000-1000-8000-00805F9B34FB};{0000FFFD-0000-1000-8000-00805F9B34FB}"
}


# Device installation configuration
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_Policy_Config01_DeviceInstallation02"
New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{
    ParentID="./Vendor/MSFT/Policy/Config";
    InstanceID="DeviceInstallation";
    PreventInstallationOfMatchingDeviceIDs='<![CDATA[<Enabled/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;BTH\MS_BTHPAN"/><Data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/>]]>'
}

Para obtener más información, consulte Uso de scripts de PowerShell con el proveedor de puentes WMI.

Nota

Una vez aplicada la configuración, si intenta emparejar un dispositivo a través de Bluetooth, se emparejará inicialmente y se desconectará inmediatamente. El dispositivo Bluetooth no se carga y no está disponible en Configuración ni En el Administrador de dispositivos.

Proporcionar comentarios

Para proporcionar comentarios sobre las claves de acceso, abra el Centro de comentarios y use la categoría Clave de paso de seguridad y privacidad>.