Brindamos una mejor seguridad y una mejor experiencia del usuario a las Cuentas de Google.
Las llaves de acceso son una tecnología de autenticación segura y multidispositivo que permite crear cuentas en línea y acceder a ellas sin ingresar una contraseña. Para acceder a una cuenta, a los usuarios solo se les muestra un mensaje para usar el bloqueo de pantalla en su dispositivo, como tocar el sensor de huellas dactilares.
Google lleva años trabajando con la FIDO Alliance, junto con Apple y Microsoft, para llevar las llaves de acceso a todo el mundo. En 2022, lanzamos la compatibilidad de la plataforma con las llaves de acceso para que los usuarios de Android y Chrome puedan acceder sin problemas a apps y sitios web en todos sus dispositivos. En mayo de 2023, habilitamos el acceso a las Cuentas de Google con llaves de acceso, lo que brinda a nuestros usuarios la seguridad y la comodidad de las llaves de acceso.
Google se encuentra en una posición única, ya que trabajamos en la infraestructura de las llaves de acceso y somos uno de los servicios más grandes que las usan. Lanzamos las llaves de acceso para las Cuentas de Google de forma cuidadosa y deliberada, de modo que podamos medir los resultados y usar esos comentarios para seguir mejorando la infraestructura de llaves de acceso y la experiencia de la Cuenta de Google.
Cómo migrar a los usuarios a las llaves de acceso
Las contraseñas han sido el método de acceso estándar desde la aparición de las experiencias en línea personalizadas. ¿Cómo presentamos la experiencia sin contraseña de las llaves de acceso?
Las investigaciones indican que, en lo que respecta a la autenticación, los usuarios valoran más la comodidad. Quieren una transición fluida y rápida a la experiencia real, que solo se obtiene después de acceder.
Sin embargo, la transición a las llaves de acceso requiere cambiar la memoria muscular, y los usuarios deben convencerse de que vale la pena hacer el cambio.
La experiencia del usuario de las llaves de acceso para Google.com se diseñó estratégicamente para enfatizar dos principios en cada paso del proceso de autenticación: facilidad de uso y seguridad.
Lidera con la comodidad
La primera pantalla de llave de acceso que ven los usuarios es ligera y fácil de entender. El encabezado se enfoca en el beneficio para el usuario y dice "Simplifica el acceso".
En el cuerpo del texto, se explica que "Con las llaves de acceso, ahora puedes usar tu huella dactilar, rostro o bloqueo de pantalla para verificar tu identidad".
El objetivo de la ilustración es fundamentar el mensaje en la propuesta de valor que hace la página. La acción principal grande en azul invita al usuario a continuar. "Ahora no" se incluye como una acción secundaria para permitir que los usuarios elijan si habilitar la opción en este momento o no, lo que le permite al usuario tener el control. Y se ofrece la opción "Más información" para los usuarios más curiosos que quieran comprender mejor las llaves de acceso antes de continuar.
Exploramos muchas iteraciones de las páginas que se usan para presentarles a los usuarios las llaves de acceso durante el acceso. Esto incluyó probar contenido que enfatizaba la seguridad, la tecnología y otros aspectos de las llaves de acceso, pero lo que más resonó fue la comodidad. La estrategia de contenido, la ilustración y el diseño de interacción de Google demonstran este principio fundamental para nuestra implementación de llaves de acceso.
Asocia el término "llaves de acceso" con experiencias de seguridad conocidas
Las llaves de acceso son un término nuevo para la mayoría de los usuarios, por lo que los exponemos de forma intencional y suave al término para que se familiaricen con él. Con la ayuda de una investigación interna, asociamos estrategias de seguridad con llaves de acceso.
La palabra "llave de acceso" se incluye en todo el flujo de acceso en la posición menos prominente del cuerpo del texto. Se encuentra de forma coherente entre las experiencias de seguridad conocidas que permiten el uso de llaves de acceso: huellas dactilares, escaneo facial o cualquier otro bloqueo de pantalla del dispositivo.
Nuestra investigación demostró que muchos usuarios asocian la biometría con la seguridad. Si bien las llaves de acceso no requieren datos biométricos (por ejemplo, se puede usar una llave de acceso con un PIN del dispositivo), nos basamos en la asociación de llaves de acceso con datos biométricos para aumentar la percepción de los usuarios sobre los beneficios de seguridad de las llaves de acceso.
El contenido adicional que se encuentra detrás del vínculo "Más información" tiene mucha información valiosa para los usuarios, incluida la tranquilidad de que sus datos biométricos sensibles permanecen en su dispositivo personal y nunca se almacenan ni comparten cuando se crean o usan llaves de acceso. Adoptamos este enfoque porque la mayoría de los usuarios encontró atractivo el aspecto de comodidad de las llaves de acceso, pero solo unos pocos tuvieron en cuenta el elemento biometrográfico durante las pruebas.
Presenta las llaves de acceso cuando sea relevante para el usuario
Las heurísticas de Google determinan cuidadosamente quién verá la pantalla de introducción. Algunos de estos factores son si un usuario tiene habilitada la verificación en dos pasos y si accede a esa cuenta con regularidad desde el mismo dispositivo.
Primero, se seleccionan los usuarios que tienen más probabilidades de tener éxito con las llaves de acceso y, con el tiempo, se incorporarán más usuarios (aunque cualquier persona puede comenzar a usarlas en g.co/llavesdeacceso hoy mismo).
Se les solicita a los usuarios seleccionados que creen una llave de acceso después de acceder con un nombre de usuario y una contraseña. Hay algunas razones por las que elegimos este punto en el recorrido del usuario:
- El usuario acaba de acceder y conoce sus credenciales y el segundo paso.
- Estamos seguros de que el usuario está en su dispositivo, ya que acaba de acceder, por lo que es poco probable que se haya ido o haya dejado el dispositivo.
- Estadísticamente, no siempre se puede acceder correctamente la primera vez, por lo que un mensaje que facilite el proceso la próxima vez tiene un valor tangible.
Posiciona las llaves de acceso como una alternativa a las contraseñas de
, pero aún no como un reemplazo.
La investigación inicial de usuarios muestra que muchos usuarios aún quieren usar contraseñas como método de acceso alternativo. Además, no todos los usuarios tendrán la tecnología necesaria para adoptar llaves de acceso.
Entonces, mientras la industria, incluida Google, se dirige hacia un "futuro sin contraseñas", Google posiciona intencionalmente las llaves de acceso como una alternativa simple y segura a las contraseñas. La IU de Google se enfoca en los beneficios de las llaves de acceso y evita el lenguaje que implica deshacerse de las contraseñas.
El momento de la creación
Cuando los usuarios elijan inscribirse, verán una ventana modal de IU específica del navegador que les permite crear una llave de acceso.
La llave de acceso se muestra con el ícono alineado con la industria y la información que se usó para crearla. Esto incluye el nombre visible (un nombre fácil de recordar para tu llave de acceso, como el nombre real del usuario) y el nombre de usuario (un nombre único en tu servicio; una dirección de correo electrónico puede funcionar muy bien aquí). Cuando se trata de trabajar con el ícono de llaves de acceso, la alianza FIDO recomienda usar el ícono de llaves de acceso comprobadas y recomienda personalizarlo a tu gusto.
El ícono de llaves de acceso se muestra de forma coherente en todo el recorrido del usuario para que este se familiarice con lo que verá cuando use o administre la llave de acceso. El ícono de llave de acceso nunca se presenta sin contexto o material de apoyo.
Anteriormente, describimos cómo el usuario y la plataforma trabajan juntos para crear una llave de acceso. Cuando el usuario haga clic en “Continuar”, se le presentará una IU única según la plataforma.
Con eso en mente, descubrimos a través de una investigación interna que una pantalla de confirmación una vez que se crea la llave de acceso puede ser muy útil en términos de comprensión y cierre en este paso del proceso.
La pantalla de confirmación es una "pausa" deliberada para finalizar el recorrido de presentación de las llaves de acceso a un usuario y pasar por el proceso de crear una propia. Como es (probablemente) la primera vez que un usuario interactúa con las llaves de acceso, el objetivo de esta página es proporcionar un cierre claro del recorrido. Elegimos una página independiente después de probar algunas otras herramientas, como notificaciones más pequeñas y hasta un correo electrónico posterior a la creación, solo para proporcionar una experiencia de extremo a extremo, estructurada y estable.
Una vez que el usuario hace clic en "Continuar" aquí, se lo dirige a su destino.
Accediendo
La próxima vez que un usuario intente acceder, se le mostrará esta página. En este caso, se usa el mismo diseño, la misma ilustración y el mismo llamado a la acción principal para evocar la primera experiencia de "creación" que se describió anteriormente. Una vez que el usuario haya decidido inscribir las llaves de acceso, esta página debería resultarle familiar y reconocerá los pasos que debe seguir para acceder.
Aquí se aplica el mismo principio de familiaridad. Intencionalmente, esto utiliza la misma iconografía, ilustración, diseño y texto. El texto dentro de la IU de WebAuthn es breve, amplio y reutilizable, por lo que todos pueden usarlo para la autenticación y la reautenticación.
Administración de llaves de acceso
Presentar una página completamente nueva dentro de las páginas de configuración de la Cuenta de Google requirió una consideración cuidadosa para garantizar una experiencia del usuario coherente, intuitiva y coherente.
Para lograrlo, analizamos los patrones relacionados con la navegación, el contenido, la jerarquía y la estructura, y las expectativas establecidas que existían en toda la Cuenta de Google.
Describir las llaves de acceso según el ecosistema
Para crear un sistema de categorías de alto nivel que fuera lógico de entender, decidimos describir las llaves de acceso por ecosistema. De esta manera, un usuario podría reconocer dónde se creó una llave de acceso y dónde se usa. Cada proveedor de identidad (Google, Apple y Microsoft) tiene un nombre para su ecosistema, por lo que elegimos usarlos (Administrador de contraseñas de Google, llavero de iCloud y Windows Hello, respectivamente).
Para ello, agregamos metadatos adicionales, como la fecha de creación, el momento en que se usó por última vez y el SO específico en el que se usó. En cuanto a las acciones de administración de usuarios, la API solo admite cambiar el nombre, revocarlo y crearlo.
El cambio de nombre permite a los usuarios asignar nombres personales significativos a las llaves de acceso, lo que podría ayudar a determinadas cohortes de usuarios a realizar un seguimiento y comprenderlos con mayor facilidad.
Cuando se revoca una llave de acceso, no se borra del administrador de credenciales personal del usuario (como el Administrador de contraseñas de Google), pero se vuelve inutilizable hasta que se vuelve a configurar. Por eso, elegimos una cruz, en lugar de un ícono de papelera o borrar, para representar la acción de revocar una llave de acceso.
Cuando se describió la acción de agregar una llave de acceso a su cuenta, la frase "Crear llave de acceso" tuvo mejor aceptación entre los usuarios en comparación con "Agregar una llave de acceso". Esta es una elección de lenguaje sutil para distinguir las llaves de acceso de las llaves de seguridad físicas y tangibles (aunque se debe tener en cuenta que las llaves de acceso se pueden almacenar en algunas llaves de seguridad físicas).
Proporciona contenido adicional
Según investigaciones internas, el uso de llaves de acceso es una experiencia relativamente fluida y familiar. Sin embargo, al igual que con cualquier tecnología nueva, hay inquietudes y preguntas persistentes que les surgirán a algunos usuarios.
En el contenido del Centro de ayuda de llaves de acceso de Google, se aborda cómo funciona la tecnología detrás del bloqueo de pantalla, qué la hace más segura y las situaciones más comunes de "¿qué pasaría si…?" que Google encontró durante las pruebas. Tener listo el contenido de asistencia con el lanzamiento de las llaves de acceso es fundamental para que los usuarios realicen una transición fácil en cualquier sitio.
Recurre a las llaves de acceso
Volver al sistema anterior es tan simple como hacer clic en "Probar otro método" cuando se le solicita a un usuario que se autentique con una llave de acceso. Además, salir de la IU de WebAuthn iniciará a los usuarios en un camino para volver a intentar usar su llave de acceso o acceder a su Cuenta de Google de las formas tradicionales.
Conclusión
Aún estamos en los inicios de las llaves de acceso, por lo que, cuando diseñes la experiencia del usuario, ten en cuenta los siguientes principios:
- Introduce llaves de acceso cuando sea relevante para el usuario.
- Destaca los beneficios de las llaves de acceso.
- Aprovecha las oportunidades para familiarizar a los usuarios con el concepto de llaves de acceso.
- Presenta las llaves de acceso como una alternativa a las contraseñas, no como un reemplazo.
Las opciones que elegimos para las llaves de acceso de las Cuentas de Google se basaron en las prácticas recomendadas y la investigación interna, y seguiremos desarrollando la experiencia del usuario a medida que obtengamos nuevas estadísticas de los usuarios en el mundo real.