Google ha lanzado una opción de clave de acceso que las personas pueden usar para iniciar sesión en sus servicios junto con los métodos de autenticación tradicionales y proclamó un paso importante hacia un “futuro sin contraseña”.
Lanzada antes del jamboree anual de marketing de seguridad del Día Mundial de la Contraseña, la clave de acceso de Google es la culminación de un esfuerzo multipartito de un año de duración entre Apple, Google y Microsoft, que se unieron en 2022 para ampliar el apoyo a Fast Identity Online Alliance. (FIDO Alliance’s) Especificación FIDO2: permite a los usuarios utilizar la autenticación sin contraseña en los navegadores Android, iOS, Chrome, Edge y Safari, y en las computadoras macOS y Windows.
“Durante algún tiempo, nosotros y otros en la industria hemos estado trabajando en una alternativa más simple y segura a las contraseñas”, escribieron el gerente de producto del grupo de Google, Christiaan Brand, y el gerente de producto senior de Google, Sriram Karra. “Si bien las contraseñas estarán con nosotros durante un tiempo, a menudo son frustrantes de recordar y lo ponen en riesgo si terminan en las manos equivocadas.
“Entonces, tal vez para el Día Mundial de la Contraseña del próximo año, ni siquiera necesitará usar su contraseña, y mucho menos recordarla”.
El concepto de una clave de acceso ha existido por un tiempo, pero su adopción en Google es una señal clara de que ahora pueden estar encaminándose hacia la aceptación general.
Más fáciles de usar que las contraseñas, permiten a los usuarios iniciar sesión en aplicaciones y sitios utilizando datos biométricos, como huellas dactilares o reconocimiento facial, o un PIN de bloqueo de pantalla, como se han acostumbrado a hacer las personas cuando desbloquean sus teléfonos inteligentes.
Las claves de acceso se consideran más seguras porque, a diferencia de las contraseñas, no se pueden escribir ni compartir, y son resistentes a los ataques en línea, como el phishing o la ingeniería social, lo que las hace más seguras que opciones como los códigos de acceso de un solo uso (OTP) de SMS que son todavía se usa en muchas configuraciones de autenticación multifactor (MFA).
La clave de acceso de Google ofrecerá opciones de inicio de sesión tanto biométricas como basadas en código de acceso, y se les solicitará a los usuarios que opten por ellas cada vez que inicien sesión o intenten acceder a información confidencial. La clave en sí se almacenará en el dispositivo y no compartirá datos biométricos con Google ni con terceros.
Las opciones de autenticación existentes, incluidas las contraseñas, seguirán estando disponibles, en parte porque las claves de acceso siguen siendo una tecnología relativamente nueva y es posible que muchos dispositivos aún no las admitan.
Sin embargo, Google dijo que prestaría mucha atención a cómo responde su base de usuarios y espera ayudar a las personas a “dar el siguiente salto” para hacer que la autenticación sea más segura.
Los usuarios de Google que deseen probar las claves de acceso por sí mismos pueden activarlas aquí, mientras que los administradores de Google Workspace pronto tendrán la opción de habilitar las claves de acceso para sus usuarios.
“Las claves de acceso son el primer método de autenticación que elimina el error humano, brindando seguridad y facilidad de uso”, dijo el CEO de 1Password, Jeff Shiner.
“Con Google activando el soporte de claves de acceso… 1.500 millones de personas en todo el mundo ahora tienen la oportunidad de adoptar claves de acceso”, dijo. “Sin embargo, para que sea ampliamente adoptado, los usuarios necesitan la capacidad de elegir dónde y cuándo quieren usar las claves de acceso para que puedan cambiar fácilmente entre ecosistemas.
“A medida que trabajamos activamente con otros líderes de la Alianza FIDO para eliminar las contraseñas, inevitablemente eliminaremos una de las mayores recompensas de los phishers: las credenciales. Este es un punto de inflexión para las claves de acceso y para hacer que el mundo en línea sea seguro”.
¿Qué hay debajo del capó?
La tecnología de clave de acceso de Google se basa en una clave privada criptográfica almacenada localmente que crea el usuario. En este punto, se envía una clave pública correspondiente a Google para que la próxima vez que inicien sesión, se le solicite al dispositivo que firme un desafío único con la clave privada. El dispositivo solo hace esto si el usuario lo aprueba, lo que significa que debe estar presente para desbloquear el dispositivo.
Además, el dispositivo garantiza que la firma solo se pueda compartir con los sitios web y las aplicaciones de Google, y no con ningún sitio de phishing malicioso que haya intentado insertarse en la cadena, lo que significa que el usuario no necesita estar tan atento como lo estaría si estuviera utilizando contraseñas y MFA.
Esencialmente, al firmar el desafío con sus datos biométricos o contraseña, el usuario demuestra a Google que el dispositivo es suyo ya que tiene la clave privada, que estuvo presente para desbloquearlo y que realmente está iniciando sesión en un servicio de Google y no en un phishing. sitio.
