ARPASS
→ Abrir Arpass
ARPASS
→ Abrir Arpass
"Passkey", "clave pública", "AES", "PWA"… el mundo de la seguridad está lleno de siglas. Aquí están en lenguaje sencillo, con las formas completas escritas y una analogía cotidiana donde sea útil.
Un par de claves. La clave pública es segura para compartir — piensa en ella como un candado que cualquiera puede usar. La clave privada es la única que abre ese candado, y nunca la das. Con este par, puedes intercambiar cosas de manera segura sin enviar la propia clave.
Una forma de iniciar sesión sin contraseña. Una clave vive dentro de tu teléfono, PC o una llave de seguridad como una YubiKey. Cómo demuestras que eres tú depende del dispositivo — los teléfonos y PCs usan huella dactilar o reconocimiento facial, mientras que una YubiKey usa "toca el contacto metálico" más PIN si se requiere (nota: las YubiKeys comunes no tienen sensor de huella). Nada que memorizar, y muy difícil de phishear.
Los estándares que hacen funcionar las passkeys en los navegadores. Definen cómo un sitio le pide al navegador "verifica a este usuario con su dispositivo o llave". FIDO2 es la familia más amplia de especificaciones por debajo.
Una forma de extraer "el mismo valor secreto, pero único para esta llave" de una YubiKey bajo demanda. Arpass usa esto para derivar una clave de cifrado separada para cada YubiKey registrada.
Pedir una comprobación adicional sobre una contraseña — un código en tu teléfono, un toque de YubiKey, etc. "Dos cerraduras en la puerta." MFA es el término más general y significa dos o más factores combinados.
Un código numérico desechable que cambia cada 30 segundos aprox. Aunque se robe, expira rápido. Comúnmente usado para 2FA.
El cifrado convierte datos en algo ilegible usando una clave. El descifrado lo revierte con la clave. Eso es todo.
El método de cifrado más usado hoy. La misma clave cifra y descifra ("cifrado simétrico"). "AES-256" significa que la clave tiene 256 bits — muy fuerte.
Ambos son métodos de cifrado de clave pública. RSA es el clásico de larga trayectoria (lleva el nombre de sus tres inventores). ECC es más nuevo y usa claves más cortas para la misma fortaleza, por lo que se está volviendo dominante en teléfonos y YubiKeys. Las matemáticas son intrincadas; no necesitas entenderlas para usarlo.
Convierte datos en una cadena de "huella" de longitud fija. La misma entrada siempre produce la misma huella, pero no puedes recuperar la entrada a partir de la huella. Se usa para detectar manipulaciones y comparar elementos.
Una forma de producir claves específicas para un propósito a partir de un secreto subyacente, de manera segura. La disciplina de no reutilizar el mismo secreto directamente para todo.
Futuras computadoras ultrapotentes que podrían, en teoría, romper la criptografía de clave pública actual (RSA, ECC). PQC es la próxima generación de cripto diseñada para resistirlas. No es una amenaza práctica hoy.
Un pequeño dispositivo físico USB / NFC que contiene claves de inicio de sesión. YubiKey es la marca más conocida. Como la llave vive físicamente en tu mano, es muy fuerte.
La usas tocando el contacto metálico, más un PIN cuando se solicita. Las YubiKeys comunes (las series 5 y Security Key) no tienen sensor de huella dactilar. (Yubico también fabrica una línea "YubiKey Bio" separada que tiene huella, pero esa es una línea de productos distinta.)
Inalámbrico de alcance muy corto. El tipo de comunicación de "tocar tu teléfono con una YubiKey". Misma familia de tecnología que las tarjetas de transporte sin contacto.
Un área aislada y dedicada dentro de un teléfono o PC que almacena claves con protecciones adicionales. Tus datos de huella / cara y las claves del dispositivo viven aquí y no salen. (Esto está integrado en teléfonos y PCs — no es lo mismo que una YubiKey.)
Una pieza de hardware dedicada que maneja claves sin dejar que salgan nunca. Usado del lado del servidor por bancos y grandes servicios.
Un estándar de larga trayectoria para cifrar y firmar correos y archivos. Basado en el "PGP" original (Pretty Good Privacy). YubiKey puede contener estas claves.
Un estándar de verificación de identidad estilo "tarjeta inteligente", originalmente para empleados del gobierno de EE. UU. Se usa para inicio de sesión en PC empresariales, entre otros. YubiKey lo admite.
Una forma de hacer que un sitio web se comporte como una app. "Añadir a pantalla de inicio" crea un icono que lanza el sitio a pantalla completa. No pasa por una tienda de apps.
Un pequeño programa que se ejecuta en segundo plano para una página web. Se usa para soporte sin conexión y para que un sitio califique como PWA.
Un pequeño "archivo de configuración" para una PWA. Lista el nombre de la app, los iconos y cómo debería lanzarse. Permite que el navegador trate el sitio como una app.
Una forma de envolver un sitio web en una "envoltura de app" de Android para que pueda listarse en Google Play.
Comprar bienes digitales dentro de una app usando la facturación de Apple / Google. Esas tiendas toman una comisión.
Un ajuste de seguridad que dice a una página web "solo puedes cargar scripts e imágenes desde estos lugares". Ayuda a evitar que se ejecuten scripts maliciosos inyectados.
Un diseño donde el operador del servicio no puede ver (ni alcanzar) el contenido de tus datos. El cifrado ocurre enteramente en tu navegador; el operador solo ve bytes cifrados. Arpass usa este diseño.
"Blockchain" es una forma de almacenar datos de manera distribuida y muy difícil de alterar o eliminar. Arweave es un tipo específico de almacenamiento blockchain donde lo que escribes queda escrito, permanentemente. Arpass almacena tus datos cifrados aquí.
En Arpass, la clave maestra que realmente cifra tus datos. La MEK misma se envuelve (cifra) con tu contraseña, YubiKey y otros "factores", así que nunca está desnuda.
El código de recuperación de Arpass. La opción de último recurso para recuperar si pierdes todos tus dispositivos y llaves. Se imprime en papel y se guarda con seguridad. (El modo solo-YubiKey no usa Recovery Secret.)