El gigante de la búsqueda y la web Google ha puesto en marcha planes para introducir la autenticación multifactor obligatoria (MFA), a menudo conocida como autenticación de dos factores (2FA) para los titulares de cuentas, y tiene la intención de hacer la transición de 150 millones de usuarios al sistema más seguro para el final. de 2021.
Anunciados por primera vez en mayo de 2021, los cambios reflejan tanto la vulnerabilidad de la autenticación tradicional basada en contraseña única para los ciberdelincuentes y otros actores maliciosos, como la falta de voluntad general de los consumidores para adoptar MFA, a lo que Google se refiere como verificación en dos pasos (2SV). generalmente citando inconvenientes adicionales.
En un anuncio que marca el Mes de la Concientización sobre la Seguridad Cibernética, el director de seguridad y protección de la cuenta de Google, Guemmy Kim, y el gerente de producto del grupo para Chrome, AbdelKarim Mardini, escribieron: “Además de las contraseñas, sabemos que tener una segunda forma de autenticación reduce drásticamente la posibilidad del atacante de obtener acceso a una cuenta.
“Durante años, Google ha estado a la vanguardia de la innovación en 2SV, una de las formas más confiables de prevenir el acceso no autorizado a cuentas y redes. 2SV es más fuerte cuando combina algo que sabe, como una contraseña, y algo que tiene, como su teléfono o una llave de seguridad “.
Hoy, explicaron Kim y Mardini, a los usuarios de Google que ya se han registrado en MFA se les pide que confirmen su identidad con un simple toque a través de un mensaje en su teléfono inteligente cuando inician sesión. De ahora en adelante, los usuarios con cuentas “configuradas apropiadamente” ahora serán se registró automáticamente para esto: los usuarios pueden verificar el estado de su cuenta aquí. Además de los 150 millones de cuentas de consumidores, también exigir a los creadores de YouTube que activen la función.
La inscripción automática no afectará, por ahora, a las organizaciones que utilizan Google Workspace, que pueden seguir inscribiendo a sus usuarios si lo desean, a través de la consola de administración.
Kim y Mardini dijeron que Google reconoció que MFA no siempre es adecuado para todos, por lo que continúa trabajando en tecnologías que brinden una “experiencia de autenticación conveniente y segura” al tiempo que reducen la dependencia de las contraseñas.
Parte de este trabajo ha incluido la creación de llaves de seguridad en teléfonos Android y el lanzamiento de la aplicación Google Smart Lock, que realiza la misma función en dispositivos iOS. También lanzó recientemente One Tap e Identity API llamadas Google Identity Services, que utilizan tokens seguros para permitir a los usuarios iniciar sesión en sitios web y aplicaciones de socios, como Pinterest o Reddit.
“Estos nuevos servicios representan el futuro de la autenticación y protegen contra vulnerabilidades como el click-jacking, seguimiento de píxeles y otras amenazas basadas en aplicaciones y web”, dijeron Kim y Mardini.
Google también alienta a los usuarios a que se registren en su servicio de administrador de cuentas inactivas poco publicitado, que protege las cuentas de las que los usuarios se han alejado o ya no usan por cualquier motivo: el compromiso de una cuenta inactiva no utilizada en otro servicio probablemente llevó a la impactante incidente de ransomware Colonial Pipeline a principios de 2021.
El servicio permite a los usuarios decirle a Google cuándo debe considerar su cuenta inactiva y si debe eliminar la cuenta y sus datos o confiarla a un contacto de confianza.
Los usuarios pueden registrarse en la configuración de Mi cuenta, donde se les pedirá que establezcan un período de inactividad que debe transcurrir antes de que Google tome alguna medida, que puede ser entre tres y 18 meses, así como a quién notificar y qué se debe compartir. , como fotos, contactos, correos electrónicos o documentos. Los usuarios pueden especificar hasta 10 ejecutores digitales para sus cuentas, especificar notificaciones automáticas para cualquiera que intente contactarlo a través de su cuenta difunta y si la cuenta debe eliminarse por completo, incluidos los datos compartidos públicamente.
“Configurar un plan de cuenta inactiva es un paso simple que puede tomar para proteger sus datos, asegurar su cuenta en caso de que se vuelva inactiva y asegurarse de que su legado digital se comparta con sus contactos de confianza en caso de que no pueda acceder a su cuenta. ”Dijo Sam Heft-Luthy, gerente de producto de la Oficina de Privacidad y Protección de Datos de Google.