Más allá de la contraseña: llaves de acceso en Google Workspace

Las contraseñas se han utilizado con las computadoras durante más de 60 años, pero, hoy en día, simplemente ya no son suficientes para mantener seguros los datos de los usuarios y las organizaciones. Los ataques de phishing continúan creciendo en escala y sofisticación al aprovechar las debilidades de seguridad en las contraseñas. Por ejemplo:

• Más del 60% de las violaciones de datos en 2021 involucraron credenciales robadas o phishing
• Las violaciones de datos causadas por el phishing costaron a las organizaciones $ 4.91 millones en promedio en 2022
• Los ataques de phishing crecieron un 61% en 2022, alcanzando los 255 millones en un semestre

Durante los últimos 10 años, Google ha estado al frente de la batalla contra el phishing y las amenazas relacionadas con las contraseñas, incluso con nuestras defensas automatizadas impulsadas por Google AI. Hemos defendido el desarrollo de claves de seguridad física y su estandarización bajo la Alianza FIDO. Como una alternativa generalmente más simple y segura a las contraseñas, las claves de acceso representan la culminación de este trabajo para llevar la tecnología resistente al phishing a miles de millones de personas en todo el mundo. A principios de mayo, pusimos a disposición claves de acceso como una opción de inicio de sesión adicional para las cuentas personales de Google. A partir de hoy, en una versión beta abierta, más de 9 millones de organizaciones pueden permitir que sus usuarios hagan login en las cuentas de Google Workspace y Google Cloud usando claves de acceso en lugar de contraseñas.

Las claves de acceso introducen beneficios significativos de seguridad y usabilidad para los usuarios, y estamos encantados de ser el primer gran proveedor de nube pública en llevar esta tecnología a nuestros clientes, desde pequeñas y grandes empresas hasta escuelas y gobiernos. Si bien los usuarios aún pueden seguir usando contraseñas para iniciar sesión en sus cuentas de trabajo y personales de Google, las claves de acceso pueden ofrecer una alternativa más simple y segura y pueden reducir el impacto del phishing y otros ataques de ingeniería social.

¿Qué son las claves de acceso?

Las claves de acceso son un nuevo método de inicio de sesión sin contraseña que puede ofrecer una experiencia de autenticación conveniente y segura en sitios web y aplicaciones, lo que permite a los usuarios iniciar sesión con una huella digital, reconocimiento facial u otro mecanismo de bloqueo de pantalla en teléfonos, computadoras portátiles o de escritorio. Las claves de acceso se basan en un estándar de la industria y están disponibles en los navegadores y sistemas operativos populares que las personas usan todos los días, incluidos Android, ChromeOS, iOS, macOS y Windows. A diferencia de las contraseñas, las claves de acceso no necesitan recordarse ni escribirse y no pueden escribirse ni entregarse accidentalmente. Las claves de paso son simplemente más fáciles de usar. De hecho, los primeros datos de Google (marzo - abril de 2023) han demostrado que las claves de acceso son 2 veces más rápidas y 4 veces menos propensas a errores que las contraseñas.

Las claves de acceso se basan en los mismos protocolos criptográficos de clave pública que respaldan las claves de seguridad físicas, como Titan Security Key , y por lo tanto pueden ser resistentes al phishing y otros ataques en línea. De hecho, la investigación de Google ha demostrado que las claves de seguridad brindan una protección más sólida contra los bots automatizados, los ataques masivos de phishing y los ataques dirigidos que los SMS, las contraseñas de un solo uso basadas en aplicaciones y otras formas tradicionales de autenticación de dos factores (2FA). La resistencia al phishing de las claves de acceso es la razón por la cual los usuarios que un alto riesgo de sufrir ataques dirigidos, y quienes están inscritos en el Programa de Protección Avanzada ahora pueden usar claves de acceso además de las claves de seguridad físicas.

Snap Inc. ya ha aprovechado las claves de acceso para ayudar a reducir la carga de la administración de contraseñas y fortalecer la seguridad de sus empleados: " Asociarse con el equipo de Google Workspace para pasar de contraseñas a claves de acceso reduce el riesgo de fuga de contraseñas y apropiación de cuentas de nuestros empleados ", dijo Jim Higgins, CISO, Snap Inc. “ Nuestro equipo de Seguridad Corporativa está profundizando nuestra asociación de seguridad con Google y está entusiasmado de expandir la adopción de claves de acceso en toda nuestra empresa para brindar una experiencia de inicio de sesión más segura y conveniente. ”

Las claves de acceso también se han diseñado teniendo en cuenta la privacidad del usuario. Cuando un usuario inicia sesión con una clave de acceso a sus aplicaciones de Workspace, como Gmail o Google Drive, la clave de acceso puede confirmar que un usuario tiene acceso a su dispositivo y puede desbloquearlo con una huella digital, reconocimiento facial u otro mecanismo de bloqueo de pantalla. Los datos biométricos del usuario nunca se envían a los servidores de Google ni a otros sitios web y aplicaciones. Para ver más de cerca cómo funcionan las claves de acceso internas, consulte nuestra publicación de blog técnico .

Habilitando las llaves de acceso

Los administradores pueden permitir que los usuarios de sus organizaciones omitan las contraseñas al iniciar sesión mediante una clave de acceso. De manera predeterminada, esta configuración está desactivada, lo que significa que los usuarios no pueden omitir contraseñas durante el inicio de sesión, pero aún pueden crear y usar claves de acceso como método de verificación en dos pasos (2SV). Para permitir que los usuarios se salten las contraseñas, los administradores pueden seguir estos sencillos pasos en la consola de administración .

Para comenzar a usar claves de acceso en lugar de contraseñas, o como un método 2SV, en Google Workspace y Google Cloud, los usuarios pueden visitar g.co/passkeys .