Pronto podría ser más fácil para los usuarios de Android iniciar sesión de forma segura en las cuentas web. A partir de hoy, Google está implementando un servicio que permite a las personas con la versión 7 y posterior del sistema operativo móvil de Google usar la huella digital o el bloqueo de pantalla de su dispositivo en lugar de una contraseña cuando visitan ciertos servicios de Google.
Por ahora, el servicio está disponible solo para la propiedad del Administrador de contraseñas de Google, e incluso entonces es solo cuando las personas usan modelos seleccionados de Android. En los próximos días, la función estará disponible para todos los dispositivos con Android 7 y superior. Google no tiene una línea de tiempo sobre cuándo las personas podrán usar la función al iniciar sesión en Gmail, otras propiedades de Google o para sitios que no sean de Google.
El nuevo método de inicio de sesión utiliza los estándares FIDO2, W3C WebAuthn y FIDO CTAP de toda la industria desarrollados conjuntamente en los últimos años por una larga lista de empresas. Los estándares están diseñados para que el mundo deje de depender de las contraseñas al facilitar el uso de otros factores de autenticación, como claves de seguridad físicas, huellas dactilares u otros datos biométricos.
La nueva función, que Google anunció en una publicación de blog publicada el lunes por la mañana, es una de las primeras veces que es posible iniciar sesión en una propiedad de Google utilizando el marco FIDO2. Google dice que marca la primera vez que una interacción en la Web, a diferencia de una dentro de una aplicación móvil nativa, ha permitido el uso de una biométrica para autenticar una acción.
“Un beneficio importante de usar FIDO2 en comparación con la interacción con las API de huellas dactilares nativas en Android es que estas capacidades biométricas ahora, por primera vez, están disponibles en la Web, lo que permite las mismas credenciales. [to] ser utilizado tanto por aplicaciones nativas como por servicios web”, escribieron el ingeniero de software de Google, Dongjing He, y el gerente de productos de Google, Christiaan Brand, en la publicación del lunes. “Esto significa que un usuario solo tiene que registrar su huella digital con un servicio una vez y luego la huella digital funcionará tanto para la aplicación nativa como para el servicio web”.
Las personas que tienen un dispositivo con Android versión 7 o superior y lo tienen configurado para usar una cuenta de Google y un bloqueo de pantalla «válido» pueden probar la nueva función haciendo esto:
- Abra la aplicación Chrome en el dispositivo Android
- Navegue a https://passwords.google.com
- Elija un sitio para ver o administrar una contraseña guardada
- Siga las instrucciones para confirmar que es usted quien intenta iniciar sesión
Google tiene instrucciones más detalladas aquí.
La comodidad como enemiga de la seguridad
La publicación del lunes decía que las huellas dactilares nunca se envían a los servidores de Google y, en cambio, permanecen «almacenadas de forma segura» en los dispositivos. Según un requisito básico del diseño de FIDO2, solo se envía a los servidores de Google una prueba criptográfica de que una huella digital se ha escaneado correctamente.
La conveniencia proporcionada por la función, asumiendo que se trata de propiedades de uso más generalizado, es excelente, pero los usuarios deben tener en cuenta que puede tener el costo de cierta seguridad. Si bien los tribunales no son unánimes, con frecuencia otorgan más libertad a los acusados que se niegan a divulgar las contraseñas, ya que hacerlo equivale a testificar contra uno mismo. La información biométrica, por el contrario, a menudo se considera una prueba que los investigadores pueden confiscar.
Otra escapatoria potencial: la publicación de blog de hoy dice que los usuarios de Android pueden usar la huella digital de su dispositivo o pantalla de bloqueo para autenticarse. Eso significa que las personas tienen la opción de usar el PIN, la contraseña o el patrón que desbloquea su teléfono para autenticarse en su cuenta web. Es difícil ver cómo esto es más conveniente que ingresar una contraseña en un navegador. También es discutible que este arreglo podría degradar la seguridad, ya que muchos usuarios de teléfonos son reacios a usar frases de contraseña largas y complejas para desbloquear sus dispositivos, ya que es una molestia ingresarlas con tanta frecuencia. Si alguna vez se perdiera o se robara un teléfono, podría comprometerse una cuenta web.
Otro problema: la función que Google presentó hoy no se puede usar en el administrador de contraseñas del sitio si los usuarios han implementado una frase de contraseña para sincronizar el uso compartido entre varios navegadores Chrome. Eso significa que para usar la autenticación FIDO2, posiblemente se requerirá que los usuarios desactiven una protección que muchos consideran una buena práctica. Un portavoz de Google dijo que el uso de una frase de contraseña de sincronización hace que las contraseñas sean invisibles para Google. En ese caso, la autenticación FIDO2 funciona solo cuando los usuarios tienen una aplicación en el lado del cliente para descifrar las contraseñas, dijo el portavoz, sin especificar cuáles son esas aplicaciones del lado del cliente.
El lanzamiento del lunes del nuevo método de autenticación se produce después de años de pronunciamientos de que las contraseñas están muertas. La disponibilidad limitada de la función, para una sola propiedad de Google y luego solo para las personas que usan Android, subraya cuán exagerados son esos informes sobre la desaparición de la contraseña. Aún así, demuestra un progreso limitado, y eso es mejor que nada.
Imagen del listado por Ron Amadeo
