domingo, 24 de mayo de 2026

Google Chrome: Gestión de llaves de seguridad FIDO2 (Nitrokey 3)

1. Introducción

Las llaves de seguridad basadas en FIDO2 (también conocidas como passkeys o claves de acceso) permiten autenticarse sin contraseñas o como segundo factor de autenticación (2FA). Google Chrome y Chomium tienen soporte nativo para estos dispositivos mediante los estándares:

- FIDO2
- WebAuthn (Autenticación Web)
- CTAP (Client to Authenticator Protocol)

Esto permite usar:

- Llaves físicas (USB, NFC, Bluetooth)
- Llaves integradas (TPM, lector de huellas, Windows Hello, etc.)

 




2. Tipos de autenticación en Chrome

Chrome gestiona dos formas principales:

- Segundo Factor de Autenticación (2FA)
- Autenticación sin contraseñas (Passkeys)

2.1 Segundo factor (2FA)
- Introduces usuario y contraseña
- Luego insertas la llave usb y/o tocas la llave, o añades el código (TOTP)


2.2 Autenticación sin contraseña (Passkeys)

- Solo usas la llave (o biometría)
- No necesita, no se usa contraseña
 

3. Cómo funciona internamente

Cuando accedes a una web compatible:

1- La web solicita autenticación (WebAuthn)
2- Chrome y/o Chromimun actúa como intermediario
3- Chrome y/o Chromimun se comunica con la llave mediante CTAP
4- La llave:
    4.1- Genera un par de claves (registro)
    4.2- Firma un reto (login)
5- Google Chrome y/o Chromimun devuelve la respuesta a la web

NOTA MUY IMPORTANTE: 🔐 La clave privada nunca sale de la llave 
4. Configuración en Google Chrome

En el navegador web Chrome y/o Chromimun, escribimos la siguiente dirección:

chrome://settings/securityKeys

Desde ahí podemos:

- Ver las llaves conectadas
- Gestionar PIN
- Resetear la llave

 


 


5. Operaciones disponibles

Muestra:

- Tipo de dispositivo
- Versión FIDO
- Estado
 

5.2 Establecer PIN de seguridad

El PIN protege la llave frente a uso no autorizado.

El Proceso es el siguiente:

- Insertar llave
- Seleccionas: Establecer PIN
- Introducir PIN nuevo


5.3 Cambiar PIN

Para cambiar el PIN actual, es requisito indispensable conocer dicha contraseña actual, y luego añadimos la nueva contraseña:

- PIN actual
- Nuevo PIN
 

5.4 Resetear llave

MUY IMPORTANTE:  usar esta opción  ⚠️  Borra TODO 

- Credenciales
- Claves privadas
- Configuración

Se usa cuando:

- Has olvidado el PIN
- Quieres empezar de cero
 


6. Uso en páginas web

Ahora vemos el proceso detallado:

6.1 Registro (crear credencial) 
6.2 Inicio de sesión

6.1 Registro (crear credencial)

1- Ir a una web compatible (Google, Joomla, etc.)
2- Seleccionar: Añadir llave de seguridad
3- Insertar la llave
4- Confirmar (toque o PIN)

6.2 Inicio de sesión

Vamos a la web o servicio

1- Introducimos el nombre de usuario
2- Google Chrome y/o Chromimun pedirá introducir la contraseña (PIN) de FIDO2
3- Insertar / acercar / tocar la llave de seguridad (Nitrokey 3)
4- Confirmar

7. Tipos de conexión soportados

Chrome y/o Chromimun soporta las siguientes tecnologías:

1- USB
2- NFC (móviles)
3- Bluetooth (algunas llaves)
4- Plataforma interna (Windows Hello, Android, etc.)

 

8. Compatibilidad con sistemas

Es compatible con los sistemas operativos mas usados actualmente:

8.1 Windows 
8.2 Linux  
8.3 macOS
8.4 Android

 

8.1 Windows

- Integración con Windows Hello
- Uso de TPM
 

8.2 Linux

- Soporte mediante HID (USB)
- Compatible con herramientas como:
  - libfido2
  - fido2-tools


8.3 macOS 

- Uso de NFC y USB OTG
- Integración con passkeys


8.4 Android 

- Uso de NFC y USB OTG
- Integración con passkeys


9. Seguridad

Ventajas clave:

- Protección contra phishing
- No reutilización de credenciales
- Claves únicas por sitio
- Autenticación basada en criptografía



10. Limitaciones

- No todos los servicios y webs lo soportan
- Las web HTTP, no esta soportado
- Algunas web/servicios, AUN requieren contraseña
- Gestión avanzada limitada en Chrome y/o Chromimun comparado con CLI: Interfaz de Línea de Comandos

 

gpg: OpenPGP card no. D276000124010201...

1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit
 


11. Diferencia con herramientas externas

Google Chrome y/o Chromimun :

- Fácil de usar
- Interfaz gráfica
- Uso muy limitado

Herramientas externa como:

- nitropy
- solo-python
- fido2-token

Permiten:

- Gestión avanzada
- Acceso a credenciales internas
- Permite el uso de OpenPGP
- Permite el uso de PIV 



12. Buenas prácticas de uso

- Usar PIN
- Usar toque del sensor táctil
- Tener al menos 2 llaves en cada servicio
- No resetear sin necesidad
- Registrar la llave en los servicios cuentas críticos
 

13. Resumen

Google Chrome y/o Chromimun actúa como puente entre:

- Web (WebAuthn)
- Sistema operativo
- La llave de seguridad FIDO2

Permitiendo autenticación segura, moderna y mucho mas resistente a ataques de seguridad.

 



Como gestionar la llave de seguridad desde el navegador web Chrome y/o Chromium

Puedes hacerlo siguiendo uno de estos dos caminos para llegar al mismo sitio:

1.- Pulsar en el siguiente enlace: chrome://settings/securityKeys

2.- Seguir la siguiente ruta en Chrome o Chromium:

2.1 - Vamos a los tres puntitos en la barra superior derecha

 


2.2 Pulsamos en Configuración

 

 

2.3 En la columna de la izquierda, hacemos clic en: Privacidad y seguridad 

 

  

2.4 En la columna de la derecha, hacemos clic en: Seguridad

 

 

2.5 Ahora hacemos clic en: Gestionar llaves de seguridad 

 

 

2.6 Y hemos llegado a los 4 apartados que podemos gestionar actualmente desde el propio navegador web

- Crear un PIN
- Datos de inicio de sesión
- Huellas digitales
- Restablecer tu llave de seguridad

 


 

 Manuales publicados en este blog sobre Nitrokey 3, hasta ahora son:

1- Configurar Nitrokey 3 desde consola (nitropy)
2- Configurar Nitrokey 3 desde Nitrokey App 2 (GUI)
3- Joomla: Autenticación FIDO2 / WebAuthn con Nitrokey 3
4- Google Chrome: Gestión de llaves de seguridad FIDO2 (Nitrokey 3)

 

 

 

 

 

 

 

 

Publicado por Usuario_Debian en 14:29 0 comentarios

Suscribirse a: Entradas (Atom)