Fido2

Uncategorized

En muchos servicios sí se puede usar una llave USB física pero sin PIN, pero si el objetivo es mejorar la seguridad, lo más útil es precisamente tener un PIN robusto y no usar modos “sin PIN”.

1. ¿Es posible usarla sin PIN?

  • A nivel estándar FIDO2, el PIN no siempre es obligatorio:
    • Cuando el servicio pide “userVerification = not required / discouraged”, la llave puede funcionar solo con toque (sin PIN), igual que una llave U2F clásica.wiki.deepnetsecurity+1
    • Algunos servicios (como el 2FA clásico en Bitwarden u otros) pueden decidir no pedir PIN y usar solo presencia física (tocar la llave) como segundo factor.reddit+1
  • Si la llave no tiene PIN configurado, muchos servicios permiten registrar credenciales FIDO2 no “residentes” sin PIN y luego autenticarse solo con toque, siempre que no exijan verificación de usuario fuerte.reddit+1

Es decir: sí, técnicamente se puede usar sin PIN en bastantes sitios, dependiendo de cómo el servicio haya configurado WebAuthn.

2. ¿Qué implica usarla sin PIN?

  • Si usas la llave solo como 2FA y sin PIN, la seguridad se basa en: contraseña del servicio + posesión de la llave. Si alguien roba la llave pero no tiene tu contraseña, no entra; pero si tiene ambas, no hay “freno” adicional.
  • Con PIN, la llave añade otra verificación local: aunque roben la llave y tengan tu contraseña, les falta el PIN de la llave.
  • Para usos “passwordless” (entrar solo con la llave, sin contraseña), el PIN sí es obligatorio: Bitwarden y otros exigen PIN cuando la llave actúa como passkey/login principal.

Desde el punto de vista de seguridad, para cuentas críticas (correo, Bitwarden, acceso corporativo) es recomendable que la llave sí tenga PIN.

3. ¿Y el problema de que alguien vea el PIN?

Si tu preocupación es que un compañero lo vea mientras escribes, la solución no es quitar el PIN, sino gestionarlo mejor:

  • Aumentar la privacidad al introducirlo (mirar alrededor, usar teclado en pantalla cuando proceda, no teclearlo en proyector, etc.).
  • Usar un PIN largo pero memorizable, difícil de “leer” de un vistazo (no 1234, 0000, fecha de nacimiento…).chipnet+1
  • En modelos biométricos (no sé si el tuyo ChipNet lo es), usar huella como verificación para reducir la frecuencia de teclear PIN. [docs.yubico]​

A efectos prácticos:

  • Se puede usar la llave sin PIN en contextos donde el servicio lo permite, pero se pierde una capa de seguridad importante.
  • Para que se evite que nadie vea introducir el PIN “por descuido”, es mejor mantener el PIN activado y reforzar hábitos de uso privado, que el desactivarlo o no configurarlo.
  • También es importante la rotación del PIN cada cierto tiempo, como en otras contraseñas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *