Skip to main content
Alineamiento, no acreditación. NIST SP 800-63B especifica requisitos para autenticadores en un contexto federal de identidad digital y define niveles de garantía de autenticación (AAL). ZeroKeyUSB es un almacén de credenciales, no un autenticador acreditado, y no hace ninguna afirmación de AAL. Esta página muestra cómo ayuda a suscriptores y organizaciones a seguir las buenas prácticas de 800-63B.

Dónde ayuda ZeroKeyUSB

Tema de 800-63BGuía (parafraseada)Cómo lo apoya ZeroKeyUSB
Secretos fuertesFomentar secretos largos y de alta entropía; no imponer reglas de composición que los debilitenGenera contraseñas de hasta 32 caracteres desde un TRNG hardware; soporta passphrases memorables de varias palabras
Sin reutilizaciónDesalentar la reutilización entre serviciosCada credencial guardada es independiente; una contraseña aleatoria única está a un toque
Almacenamiento del secretoLos verificadores deben guardar los secretos protegidos (hash/cifrado), no en claroLas credenciales están cifradas con AES fuera del host; el PIN maestro se guarda solo como SHA-256(PIN ‖ serial) — nunca en claro
Límite de intentosLimitar los intentos de autenticación fallidos para resistir el adivinado onlineBackoff exponencial persistente en el PIN, reaplicado en cada arranque para que no se reinicie apagando y encendiendo
Resistencia al compromiso del verificadorReducir el impacto de un endpoint comprometidoLas credenciales nunca residen en el host y la clave AES nunca sale del elemento seguro
Manejo del secreto memorizadoSalar y hashear los secretos memorizados; comparar de forma seguraEl PIN usa el serial del dispositivo como sal y una comparación a tiempo constante

Carencias honestas frente a un autenticador formal 800-63B

  • ZeroKeyUSB no es un autenticador criptográfico resistente al phishing (p. ej. una llave FIDO2); teclea contraseñas, que son un factor tipo “secreto memorizado / secreto de consulta”.
  • No realiza prueba de posesión online con una parte confiante; complementa la autenticación basada en contraseña en lugar de sustituirla.
  • El hash del PIN es SHA-256 de una sola pasada (no un KDF pesado) y es legible por I²C, así que su resistencia offline depende de la encapsulación física y de la longitud del PIN — ver el Modelo de amenazas.

Declaración sugerida

El diseño de ZeroKeyUSB se alinea con la guía de NIST SP 800-63B sobre secretos de autenticación fuertes y únicos, almacenamiento protegido del secreto y verificación con límite de intentos. Es un dispositivo de protección de credenciales, no un autenticador acreditado, y no hace ninguna afirmación de nivel de garantía de autenticación.