Google está facilitando que las personas protejan sus cuentas con una sólida autenticación multifactor al agregar la opción de almacenar claves de cifrado seguras en forma de claves de acceso en lugar de dispositivos token físicos.

Programa de protección avanzada de Google, pie En 2017, se requiere la forma más sólida de autenticación multifactor (MFA). Si bien muchas formas de autenticación multifactor se basan en códigos de acceso de un solo uso enviados por SMS o correos electrónicos o generados por aplicaciones de autenticación, las cuentas inscritas en Protección Avanzada requieren autenticación multifactor basada en claves de cifrado almacenadas en un dispositivo físico seguro. A diferencia de los códigos de acceso de un solo uso, las claves de seguridad almacenadas en dispositivos físicos son inmunes al phishing de credenciales y no se pueden copiar ni detectar.

Aplicación democrática

El Programa de Protección Avanzada (APP), abreviatura de Programa de Protección Avanzada, requiere que la clave vaya acompañada de una contraseña cada vez que un usuario inicia sesión en una cuenta en un dispositivo nuevo. Las protecciones previenen los tipos de apropiación de cuentas que permitieron a los piratas informáticos respaldados por el Kremlin acceder a las cuentas de Gmail de funcionarios demócratas en 2016 y luego filtrar correos electrónicos robados para interferir en las elecciones presidenciales de ese año.

Hasta ahora, Google exigía que las personas tuvieran dos llaves de seguridad físicas para registrarse en la aplicación. Ahora, la empresa permite a las personas utilizar dos claves de acceso o una clave de acceso y un código físico. Quienes busquen más seguridad podrán registrarse utilizando tantas claves como quieran.

«Estamos trabajando para ampliar el espacio para que las personas tengan más opciones a la hora de inscribirse en este programa», dijo a Ars el líder del proyecto APP, Shuvo Chatterjee. Dijo que esta medida surge en respuesta a los comentarios que Google recibió de algunos usuarios que no podían comprar llaves físicas o vivían o trabajaban en áreas donde las llaves no estaban disponibles.

Como siempre, los usuarios aún deben tener dos claves de registro para evitar que se les bloquee el acceso a las cuentas si una de las claves se pierde o se daña. Aunque las prohibiciones siempre son un problema, pueden ser mucho peores para los usuarios de la aplicación porque el proceso de recuperación es más estricto y lleva mucho más tiempo que para las cuentas no registradas en el programa.

Passkeys es la creación de FIDO Alliance, un grupo intersectorial formado por cientos de empresas. Se almacenan localmente en un dispositivo y también se pueden almacenar en el mismo tipo de token de dispositivo que almacena las claves MFA. Las claves de acceso no se pueden extraer del dispositivo y requieren un PIN, una huella digital o un escaneo facial. Las claves de acceso proporcionan dos factores para la autenticación: algo que el usuario sabe (la contraseña base utilizada cuando se crea la clave por primera vez) y algo que el usuario tiene (en la forma del dispositivo que almacena la clave de acceso).

Por supuesto, los requisitos relajados no van más allá, ya que los usuarios siguen teniendo que tener dos dispositivos. Pero al ampliar los tipos de dispositivos necesarios, las aplicaciones se han vuelto más accesibles, ya que muchas personas ya poseen un teléfono y una computadora, según Chatterjee.

«Si estás en un lugar donde no puedes conseguir llaves de seguridad, será más conveniente», explicó. «Este es un paso hacia la democratización de la cantidad de acceso a la información». [users] Vaya al nivel más alto de seguridad que Google tiene para ofrecer.

A pesar del mayor escrutinio involucrado en el proceso de recuperación de cuentas de aplicaciones, Google renueva su recomendación para que los usuarios proporcionen un número de teléfono y una dirección de correo electrónico como respaldo.

«Lo máximo que puede hacer es mantener varias cosas archivadas, de modo que si pierde su clave de seguridad o la clave se desactiva, tenga una manera de volver a ingresar a su cuenta», dijo Chatterjee. No proporcionó detalles «secretos» sobre cómo funciona el proceso, pero dijo que implica «toneladas de señales que analizamos para descubrir qué está pasando realmente».

«Incluso si tienes un teléfono de recuperación, el teléfono de recuperación en sí no te dará acceso a tu cuenta», dijo. «Entonces, si se cambia su tarjeta SIM, no significa que alguien pueda acceder a su cuenta. Es una combinación de diferentes factores. Es la suma de esos factores lo que lo ayudará en el camino hacia la recuperación».

Los usuarios de Google pueden registrarse en la aplicación visitando este enlace.