Google comenzó a reemplazar las contraseñas de inicio de sesión con huellas digitales

^Google

Google ha introducido la opción de iniciar sesión con una huella digital en vez de una contraseña en uno de sus servicios web. Hasta ahora, dicha opción solo está disponible al ingresar al administrador de contraseñas, pero en el futuro la compañía planea agregar este método de autenticación a otros servicios, según un blog de Google.

El método de autenticación estándar en los servicios web es una combinación de inicio de sesión y contraseña. Además, muchos servicios grandes admiten la autenticación de dos factores, en la que, además de la contraseña principal, el usuario debe presentar un código único o un token físico.

En los últimos años, muchos investigadores en el campo de la seguridad de la información han notado que este modelo no es efectivo en la práctica. En primer lugar, la mayoría de los usuarios usan contraseñas extremadamente simples y en varios servicios a la vez, lo que los hace vulnerables incluso a ataques simples. En segundo lugar, al ingresar al servicio en un teléfono inteligente, los códigos de una sola vez pierden su significado, ya que llegan al mismo dispositivo.

Una solución simple

Google ha desarrollado una forma alternativa de ingresar a sus servicios que no requiere una contraseña. En cambio, el usuario debe usar los métodos de desbloqueo estándar utilizados en los teléfonos inteligentes Android: escanear una huella digital o ingresar una clave gráfica.

Puede iniciar sesión con el navegador Google Chrome en teléfonos inteligentes con Android 7.0 y versiones posteriores. Para esto, los programadores utilizaron una combinación de dos estándares de autenticación pública. Al ingresar, el navegador solicita al sistema operativo que verifique la identidad mediante una huella digital o una clave gráfica utilizando la API de FIDO.

^{Diagrama de funciones
Google}

Después de ingresar una clave o registrar la huella, el sistema transfiere al navegador no estos datos, sino solo la confirmación de que la huella digital o la clave gráfica coinciden con las guardadas. Después de eso, el navegador transmite datos sobre este sitio utilizando el protocolo WebAuthn.

Hasta ahora, la función solo está disponible para el administrador de contraseñas en línea de Google, pero en el futuro la compañía planea expandirla a otros servicios. Además, dado que utiliza estándares generalmente aceptados compatibles, por ejemplo, con Firefox, es probable que sea compatible con otros navegadores y servicios.

Anteriormente, Google introdujo la capacidad de usar un teléfono inteligente como un token Bluetooth para la autenticación de dos factores en sus servicios web. Para hacer esto, el usuario solo necesita presionar el botón de volumen. Esta característica también funciona sobre la base de los protocolos FIDO y WebAuthn.
 

Victor Román
Esta noticia ha sido publicada originalmente en N+1, ciencia que suma.

Sobre N+1: Es la primera revista online de divulgación científica y tecnológica que permite la reproducción total o parcial de sus contenidos por medios de comunicación, bloggers e influencers, realizando la mención del texto y el enlace a la web: “Esta noticia ha sido publicada originalmente en la revista N+1, ciencia que suma: www.nmas1.org”.