Brindamos una mejor seguridad y una mejor experiencia del usuario a las Cuentas de Google.
Las llaves de acceso son una tecnología de autenticación multidispositivo simple y segura que permite crear cuentas en línea y acceder a ellas sin ingresar una contraseña. Para acceder a una cuenta, los usuarios solo ven un mensaje para usar el bloqueo de pantalla del dispositivo, por ejemplo, tocar el sensor de huellas dactilares.
Google ha estado trabajando con FIDO Alliance durante años, junto con Apple y Microsoft, para llevar las llaves de acceso al mundo. En 2022, lanzamos la compatibilidad con plataformas de llaves de acceso para que los usuarios de Android y Chrome puedan acceder sin problemas a apps y sitios web en todos sus dispositivos. En mayo de 2023, habilitamos el acceso a Cuentas de Google con llaves de acceso, lo que les brinda a nuestros usuarios la seguridad y conveniencia de las llaves de acceso.
Google se encuentra en una posición única, ya que trabajamos en la infraestructura de las llaves de acceso y somos uno de los servicios más grandes que las usan. Estamos lanzando llaves de acceso para Cuentas de Google de forma cuidadosa y deliberada con el objetivo de medir los resultados y usar esos comentarios para seguir mejorando la infraestructura de las llaves de acceso y la experiencia de la Cuenta de Google.
Migra usuarios a llaves de acceso
Las contraseñas han sido el método de acceso estándar desde la llegada de las experiencias en línea personalizadas. ¿Cómo presentamos la experiencia sin contraseñas de las llaves de acceso?
Las investigaciones indican que, en lo que respecta a la autenticación, los usuarios valoran más la conveniencia. Quieren una transición rápida y fluida a la experiencia real, que solo ocurre después de acceder.
Aun así, la transición a las llaves de acceso requiere cambiar la memoria muscular y los usuarios deben estar convencidos de que vale la pena hacer un cambio.
La experiencia del usuario de las llaves de acceso para Google.com se diseñó estratégicamente con el objetivo de enfatizar dos principios en cada paso del proceso de autenticación: la facilidad de uso y la seguridad.
Liderazgo con conveniencia
La primera pantalla de llave de acceso que ven los usuarios es ligera y fácil de entender. El encabezado se enfoca en el beneficio para el usuario y dice "Simplifica el acceso".
En el cuerpo del texto, se explica "Con las llaves de acceso, ahora puedes usar tu huella dactilar, rostro o bloqueo de pantalla para verificar tu identidad".
La ilustración tiene como objetivo basar el mensaje en la propuesta de valor realizada por la página. La acción principal grande en azul invita al usuario a continuar. Se incluye "ahora no" como una acción secundaria que les permite a los usuarios elegir si desean o no habilitar esta función en este momento, lo que le da el control a los usuarios. Además, se ofrece "Más información" a los usuarios más curiosos que quieran comprender mejor las llaves de acceso antes de continuar.
Exploramos muchas iteraciones de las páginas que se usan para presentar a los usuarios las llaves de acceso durante el acceso. Esto incluyó probar contenido que enfatizaba la seguridad, la tecnología y otros aspectos de las llaves de acceso, pero la conveniencia fue lo que más repercutió. La estrategia de contenido, la ilustración y el diseño de interacción de Google demuestran este principio fundamental para la implementación de llaves de acceso.
Asociación del término "llaves de acceso" con experiencias de seguridad conocidas
Las llaves de acceso son un término nuevo para la mayoría de los usuarios, por lo que exponemos el término de forma intencional y amable a ellos para que se familiaricen. Con la ayuda de una investigación interna, asociamos estrategias de seguridad con llaves de acceso.
La palabra "llave de acceso" se incluye en todo el flujo de acceso en la posición de copia del cuerpo menos destacada. Se encuentra coherentemente en las experiencias de seguridad familiares que permiten el uso de llaves de acceso: la huella dactilar, el escaneo facial y otros bloqueos de pantalla del dispositivo.
Nuestra investigación demostró que muchos usuarios asocian los datos biométricos con la seguridad. Si bien las llaves de acceso no requieren datos biométricos (por ejemplo, se puede usar una llave de acceso con el PIN de un dispositivo), recurriremos a la asociación de llaves de acceso con datos biométricos para aumentar la percepción de los usuarios sobre los beneficios de seguridad de las llaves de acceso.
El contenido adicional detrás de "Más información" incluye mucha información valiosa para los usuarios, lo que incluye garantizarles que sus datos biométricos sensibles permanecerán en sus dispositivos personales y nunca se almacenarán ni se compartirán cuando se creen o usen llaves de acceso. Adoptamos este enfoque porque a la mayoría de los usuarios les resultó atractivo el aspecto conveniente de las llaves de acceso, pero solo unos pocos tuvieron en cuenta el elemento biométrico durante las pruebas.
Incorporar llaves de acceso cuando es relevante para el usuario
La heurística de Google determina con cuidado quién verá la pantalla de presentación. Algunos de estos factores son si un usuario tiene habilitada la verificación en dos pasos y si accede a esa cuenta con regularidad desde el mismo dispositivo.
Primero se seleccionan los usuarios que tienen más probabilidades de lograr el éxito con las llaves de acceso y, con el tiempo, se incluirán más usuarios (aunque cualquier persona puede comenzar en g.co/passkeys hoy mismo).
Se les solicitará a los usuarios seleccionados que creen una llave de acceso después de acceder con un nombre de usuario y una contraseña. Hay algunas razones por las que elegimos este punto en el recorrido del usuario:
- El usuario acaba de acceder, conoce sus credenciales y su segundo paso.
- Estamos seguros de que el usuario está utilizando su dispositivo, ya que acaba de acceder, por lo que es poco probable que se haya ido o dejó de usar el dispositivo.
- Desde el punto de vista estadístico, el acceso no siempre es exitoso la primera vez, por lo que un mensaje que facilite el proceso la próxima vez tendrá un valor tangible.
Posicionamiento de las llaves de acceso como alternativa a
contraseñas y aún no como reemplazo
Las investigaciones iniciales sobre los usuarios demuestran que muchos usuarios aún quieren contraseñas como método de acceso alternativo. Además, no todos los usuarios tendrán la tecnología necesaria para adoptar llaves de acceso.
Entonces, mientras la industria, incluida Google, se dirige hacia un "futuro sin contraseñas", Google posiciona intencionalmente las llaves de acceso como una alternativa simple y segura a las contraseñas. La IU de Google se enfoca en los beneficios de las llaves de acceso y evita el lenguaje que implica deshacerse de las contraseñas.
El momento de la creación
Cuando los usuarios elijan inscribirse, verán una ventana modal de IU específica del navegador que les permite crear una llave de acceso.
La llave de acceso en sí se muestra con el ícono alineado con la industria y la información que se usa para crearla. Esto incluye el nombre visible (un nombre descriptivo para la llave de acceso, como el nombre real del usuario) y el nombre de usuario (un nombre único en tu servicio; una dirección de correo electrónico puede funcionar muy bien aquí). Cuando se trata de trabajar con el ícono de llaves de acceso, la alianza FIDO recomienda usar el ícono de llaves de acceso comprobadas y recomienda personalizarlo a tu gusto.
El ícono de llaves de acceso se muestra de manera coherente a lo largo del recorrido del usuario para familiarizarse con lo que el usuario verá cuando use o administre la llave de acceso. El ícono de llave de acceso nunca se presenta sin contexto o material de apoyo.
Arriba, describimos cómo el usuario y la plataforma trabajan en conjunto para crear una llave de acceso. Cuando el usuario haga clic en "Continuar", se le mostrará una IU única según la plataforma.
Con esto en mente, a través de investigaciones internas aprendimos que una pantalla de confirmación una vez que se crea la llave de acceso puede ser muy útil para la comprensión y el cierre en este paso del proceso.
La pantalla de confirmación es una "pausa" deliberada para finalizar el proceso de presentación de las llaves de acceso a un usuario y el proceso de creación de una propia. Como es (probable) la primera vez que un usuario interactúa con las llaves de acceso, el objetivo de esta página es proporcionar un cierre claro del recorrido. Elegimos una página independiente después de probar otras herramientas, como notificaciones más pequeñas o incluso un correo electrónico posterior a la creación, simplemente para proporcionar una experiencia estructurada y estable de extremo a extremo.
Una vez que el usuario haga clic en "Continuar" aquí, se lo dirigirá a su destino.
Accediendo
La próxima vez que un usuario intente acceder, se le mostrará esta página. Se usa el mismo diseño, ilustración y llamado a la acción principal para evocar la primera experiencia de "creación" descrita anteriormente. Una vez que el usuario haya elegido inscribirse para usar las llaves de acceso, esta página debería resultarle familiar y reconocerá los pasos que debe seguir para acceder.
El mismo principio de familiaridad se aplica aquí. Intencionalmente, esto utiliza la misma iconografía, ilustración, diseño y texto. El texto dentro de la IU de WebAuthn es breve, amplio y reutilizable, por lo que todos pueden usarlo para la autenticación y la reautenticación.
Administración de llaves de acceso
La presentación de una página completamente nueva dentro de las páginas de configuración de la Cuenta de Google requirió una consideración cuidadosa para garantizar una experiencia del usuario cohesiva, intuitiva y coherente.
Para lograrlo, analizamos los patrones relacionados con la navegación, el contenido, la jerarquía y la estructura, y las expectativas establecidas que existían en toda la Cuenta de Google.
Describir las llaves de acceso según el ecosistema
Para crear un sistema de categorías de alto nivel que sería lógico comprender, nos decidimos por describir las llaves de acceso por ecosistema. De esta manera, un usuario podría reconocer dónde se creó una llave de acceso y dónde se usa. Cada proveedor de identidad (Google, Apple y Microsoft) tiene un nombre para su ecosistema, por lo que elegimos usarlos (Administrador de contraseñas de Google, llavero de iCloud y Windows Hello, respectivamente).
Para ello, agregamos metadatos adicionales, como la fecha de creación, el momento en que se usó por última vez y el SO específico en el que se usó. En cuanto a las acciones de administración de usuarios, la API solo admite cambiar el nombre, revocarlo y crearlo.
El cambio de nombre permite a los usuarios asignar nombres personales significativos a las llaves de acceso, lo que podría ayudar a determinadas cohortes de usuarios a realizar un seguimiento y comprenderlos con mayor facilidad.
Cuando se revoca una llave de acceso, no se borra del administrador de credenciales personal del usuario (como el Administrador de contraseñas de Google), pero se vuelve inutilizable hasta que se vuelve a configurar. Es por eso que elegimos una cruz, en lugar de un ícono de papelera o borrar, para representar la acción de revocar una llave de acceso.
Cuando se describe la acción de agregar una llave de acceso a su cuenta, los usuarios resonaban mejor la frase "Crear llave de acceso" que "Agregar una llave de acceso". Esta es una opción de lenguaje sutil para distinguir las llaves de acceso de las llaves de seguridad de hardware tangibles (aunque se debe tener en cuenta que las llaves de acceso se pueden almacenar en algunas llaves de seguridad de hardware).
Cómo proporcionar contenido adicional
Según investigaciones internas, el uso de llaves de acceso es una experiencia relativamente fluida y familiar. Sin embargo, al igual que con cualquier tecnología nueva, algunos usuarios seguirán teniendo preguntas y preocupaciones.
En el contenido del Centro de ayuda con las llaves de acceso de Google se abordan cómo funciona la tecnología detrás del bloqueo de pantalla, qué lo hace más seguro y las situaciones más comunes que encontró Google durante las pruebas. Tener contenido de asistencia listo para el lanzamiento de las llaves de acceso es fundamental para que los usuarios de cualquier sitio puedan realizar una transición sencilla.
Recurre a las llaves de acceso
Volver al sistema anterior es tan simple como hacer clic en "Probar otro método" cuando se le solicita a un usuario que se autentique con una llave de acceso. Además, al salir de la IU de WebAuthn, los usuarios iniciarán una ruta de acceso para volver a probar su llave de acceso o acceder a su Cuenta de Google de formas tradicionales.
Conclusión
Aún nos encontramos en la etapa inicial de las llaves de acceso, por lo que, cuando diseñes la experiencia del usuario, ten en cuenta los siguientes principios:
- Introduce llaves de acceso cuando sea relevante para el usuario.
- Destaca los beneficios de las llaves de acceso.
- Aprovecha las oportunidades para que te familiarices con el concepto de las llaves de acceso.
- Posiciona las llaves de acceso como alternativa a las contraseñas y no como reemplazo.
Las elecciones de llaves de acceso para Cuentas de Google se basan en investigaciones internas y prácticas recomendadas, y seguiremos mejorando la experiencia del usuario a medida que obtenemos nuevas estadísticas de los usuarios en el mundo real.