FIDO2 y verificación en 2 pasos
Tu teléfono Android como llave de seguridad — sin contraseñas que robar.
Android 7+ Sin contraseñas Imposible de robar
Analogía para tus alumnos: es como una cerradura con dos llaves matemáticas. Tú guardas la llave privada en tu teléfono; el sitio web solo tiene la llave pública. Aunque roben la web, no tienen nada útil.
¿Qué ocurre por dentro?
Llave privada

Se genera dentro del teléfono y nunca sale de él. Ni el propio sitio web puede verla.

Llave pública

Se envía al servidor al registrarse. Por sí sola no sirve para entrar a ningún sitio.

Reto criptográfico

El sitio manda un desafío. El teléfono lo firma con la llave privada y devuelve la firma.

Sin contraseña

En ningún momento viaja ningún secreto por la red. Nada que interceptar.

Demo en webauthn.io — paso a paso
Chrome en tu Android webauthn.io Sitio de demo seguro Listo
Abre Chrome en tu Android y ve a webauthn.io. Es un sitio de demostración oficial, sin datos reales. No necesitas cuenta ni correo.
Escribe cualquier nombre inventado, por ejemplo: alumno123
webauthn.io Register Tu teléfono genera par de claves Pública Servidor solo guarda clave pública
Pulsa el botón Register. El teléfono genera al instante un par de claves matemáticas. La clave pública viaja al servidor. La privada se queda dentro del teléfono.
El servidor nunca ve tu clave privada. Aunque lo hackeen, no obtienen nada útil.
Android pregunta ¿Huella, PIN o patrón? Tú confirmas con tu biometría local Se firma el reto sin salir del dispositivo
Android te pide que confirmes con tu huella dactilar, PIN o patrón. Esa comprobación ocurre completamente dentro del teléfono. Nunca viaja por internet.
Tu huella no sale del chip del teléfono. Ni el sitio web la ve jamás.
Pulsa Login Servidor manda reto aleatorio único Teléfono firma el reto con clave privada local
Para entrar, el servidor manda un reto aleatorio único. El teléfono lo firma con la clave privada y devuelve solo la firma. El servidor verifica con la clave pública que ya tenía.
Cada inicio de sesión usa un reto diferente. Interceptarlo no sirve de nada.
Autenticación correcta webauthn.io confirma que eres tú — sin contraseña
El sitio confirma el acceso. Esto demuestra que FIDO2 funciona en tu teléfono. Ahora puedes mostrárselo a tus alumnos y clientes con total confianza.
Si funcionó con un nombre inventado, funcionará con cuentas reales cuando lo configures.
Por qué webauthn.io no puede robarte nada
El diseño lo impide

El protocolo nunca envía secretos al servidor. Aunque quisiera robarlos, no los recibe.

Código fuente público

Cualquier técnico puede revisar el código en GitHub y verificar que no hace nada indebido.

Solo datos inventados

El nombre de usuario de la demo no está vinculado a ninguna cuenta real ni contraseña.

Pertenece a Cisco

El sitio es mantenido por Duo Security (Cisco), empresa líder en ciberseguridad.

Practica ahora en webauthn.io — escribe un nombre inventado, pulsa Register, usa tu huella y luego Login. Todo el proceso dura menos de 30 segundos.