Mejoramos la seguridad y la experiencia del usuario en las Cuentas de Google.
Las llaves de acceso son una tecnología de autenticación multidispositivo simple y segura que permite crear cuentas en línea y acceder a ellas sin ingresar una contraseña. Para acceder a una cuenta, a los usuarios solo se les muestra un mensaje que les solicita usar el bloqueo de pantalla de su dispositivo, por ejemplo, si deben tocar el sensor de huellas dactilares.
Google lleva años trabajando con FIDO Alliance, junto con Apple y Microsoft, para llevar las llaves de acceso al mundo. En 2022, lanzamos la compatibilidad de la plataforma con las llaves de acceso para que los usuarios de Android y Chrome puedan acceder sin problemas a las apps y los sitios web en todos sus dispositivos. En mayo de 2023, habilitamos el acceso a Cuentas de Google con llaves de acceso para que nuestros usuarios puedan acceder a la seguridad y conveniencia de las llaves de acceso.
Google se encuentra en una posición única, ya que ambos trabajamos en la infraestructura de las llaves de acceso y somos uno de los servicios más grandes que las utilizan. Estamos lanzando llaves de acceso para las Cuentas de Google de forma cuidadosa y deliberada para poder medir los resultados y usar esos comentarios para seguir mejorando la infraestructura de las llaves de acceso y la experiencia de la Cuenta de Google.
Transición de usuarios a llaves de acceso
Las contraseñas han sido el método de acceso estándar desde la aparición de las experiencias en línea personalizadas. ¿Cómo presentamos la experiencia sin contraseña de las llaves de acceso?
Las investigaciones indican que, cuando se trata de autenticación, los usuarios valoran más la comodidad. Quiere una transición fluida y rápida a la experiencia real, que solo se produce después de acceder.
Aun así, la transición a las llaves de acceso requiere cambiar la memoria muscular, y los usuarios deben estar convencidos de que vale la pena hacer un cambio.
La experiencia del usuario de las llaves de acceso para Google.com se diseñó de manera estratégica para enfatizar dos principios en cada paso del proceso de autenticación: la facilidad de uso y la seguridad.
Liderazgo con conveniencia
La primera pantalla de llave de acceso que ven los usuarios es ligera y fácil de entender. El encabezado se centra en el beneficio para el usuario y dice "Simplifica el acceso".
En el texto del cuerpo, se explica "Con las llaves de acceso, ahora puedes usar tu huella dactilar, rostro o bloqueo de pantalla para verificar tu identidad".
La ilustración tiene como objetivo fundamentar el mensaje en la propuesta de valor realizada por la página. La acción principal grande de color azul invita al usuario a continuar. "Ahora no" se incluye como una acción secundaria para permitir que los usuarios elijan si desean o no habilitar la función en este momento, lo que permite que el usuario tenga el control. Además, se ofrece "Más información" a los usuarios más curiosos que quieren comprender mejor las llaves de acceso antes de continuar.
Exploramos muchas iteraciones de las páginas que se utilizan para introducir a los usuarios las llaves de acceso durante el acceso. Esto incluyó probar contenido que enfatizaba la seguridad, la tecnología y otros aspectos de las llaves de acceso, pero la conveniencia fue lo que más resonaba. La estrategia de contenido, la ilustración y el diseño de interacción de Google demuestran este principio básico para la implementación de llaves de acceso.
Asociar el término "llaves de acceso" con experiencias de seguridad conocidas
"Llaves de acceso" es un término nuevo para la mayoría de los usuarios, por lo que las exponemos de forma intencional al término para generar una familiaridad. Con la investigación interna, estamos asociando estratégicamente las llaves de acceso con la seguridad.
La palabra "llave de acceso" se incluye durante el flujo de acceso en la posición del texto del cuerpo menos destacada. Se encuentra dentro de las experiencias de seguridad conocidas que permiten el uso de llaves de acceso: huella dactilar, escaneo facial y otros bloqueos de pantalla del dispositivo.
Nuestra investigación demostró que muchos usuarios asocian los datos biométricos con la seguridad. Si bien las llaves de acceso no requieren datos biométricos (por ejemplo, las llaves de acceso se pueden usar con un PIN del dispositivo), estamos optando por la asociación de llaves de acceso con datos biométricos para aumentar la percepción de los usuarios sobre los beneficios de seguridad de las llaves de acceso.
El contenido adicional incluido en "Más información" incluye mucha información valiosa para los usuarios, incluida la seguridad de que sus datos sensibles y biométricos permanecen en su dispositivo personal y nunca se almacenan ni se comparten cuando crean o usan llaves de acceso. Adoptamos este enfoque porque a la mayoría de los usuarios les resultó atractivo el aspecto de conveniencia de las llaves de acceso, pero solo unos pocos tuvieron en cuenta el elemento biométrico durante las pruebas.
Incorpora llaves de acceso cuando sea relevante para el usuario
La heurística de Google determina cuidadosamente quién verá la pantalla de presentación. Algunos de estos factores son si un usuario tiene habilitada la verificación en dos pasos y si accede a esa cuenta con regularidad desde el mismo dispositivo.
Primero se seleccionan los usuarios que tienen más probabilidades de tener éxito con las llaves de acceso y, con el tiempo, se presentarán más usuarios (sin embargo, cualquiera puede comenzar en g.co/passkeys hoy mismo).
A determinados usuarios se les solicita que creen una llave de acceso después de ingresar con un nombre de usuario y una contraseña. Hay varias razones por las que elegimos este punto en el recorrido del usuario:
- El usuario acaba de acceder, conoce sus credenciales y el segundo paso.
- Estamos seguros de que el usuario esté utilizando su dispositivo: acaba de acceder, por lo que es poco probable que haya abandonado el dispositivo o lo deje.
- Desde el punto de vista estadístico, el acceso no siempre es exitoso la primera vez, por lo que un mensaje para facilitar el acceso la próxima vez tiene un valor tangible.
Posicionamiento de las llaves de acceso como alternativa a las
contraseñas y no como reemplazo
Según la investigación inicial de usuarios, muchos usuarios aún desean usar las contraseñas como método de acceso alternativo. No todos los usuarios tendrán la tecnología necesaria para adoptar las llaves de acceso.
Por lo tanto, mientras la industria, incluida Google, avanza hacia un "futuro sin contraseñas", Google posiciona intencionalmente las llaves de acceso como una alternativa simple y segura de las contraseñas. La IU de Google se enfoca en los beneficios de las llaves de acceso y evita el lenguaje que implica deshacerse de las contraseñas.
El momento de la creación
Cuando los usuarios decidan inscribirse, verán una ventana modal de IU específica del navegador que les permitirá crear una llave de acceso.
La llave de acceso en sí se muestra con el ícono alineado con la industria y la información que se usó para crearla. Esto incluye el nombre visible (un nombre sencillo para tu llave de acceso, como el nombre real de tu usuario) y el nombre de usuario (un nombre único en tu servicio; una dirección de correo electrónico puede funcionar muy bien aquí). Cuando se trata de trabajar con el ícono de llaves de acceso, la alianza FIDO recomienda usar el ícono de llaves de acceso comprobado y recomienda personalizarlo con personalizaciones.
El ícono de llaves de acceso se muestra de manera coherente en todo el recorrido del usuario para familiarizarse con lo que verá el usuario cuando use o administre la llave de acceso. El ícono de llave de acceso nunca se presenta sin contexto o material de respaldo.
Más arriba, describimos cómo trabajan juntos el usuario y la plataforma para crear una llave de acceso. Cuando el usuario haga clic en "Continuar", se le mostrará una IU única según la plataforma.
Con esto en mente, a través de una investigación interna aprendimos que una pantalla de confirmación una vez creada la llave de acceso puede ser muy útil en términos de comprensión y cierre en este paso del proceso.
La pantalla de confirmación es una "pausa" deliberada que retoma el proceso de presentarle a un usuario las llaves de acceso y crear una propia. Como es (probablemente) la primera vez que un usuario interactúa con llaves de acceso, esta página tiene como objetivo proporcionar un cierre claro al recorrido. Elegimos una página independiente después de probar otras herramientas, como notificaciones más pequeñas e incluso un correo electrónico posterior a la creación, simplemente para proporcionar una experiencia estructurada y estable de extremo a extremo.
Una vez que el usuario hace clic en "Continuar", se lo dirige a su destino.
Accediendo
La próxima vez que un usuario intente acceder, recibirá esta página. Esto usa el mismo diseño, ilustración y llamado a la acción principal para evocar la primera experiencia de "creación" que se describió anteriormente. Una vez que el usuario haya decidido inscribirse en las llaves de acceso, esta página debería resultarle familiar y reconocerá los pasos que debe seguir para acceder.
El mismo principio de familiaridad se aplica aquí. Intencionalmente, esto usa la misma iconografía, ilustración, diseño y texto. El texto dentro de la IU de WebAuthn es breve, amplio y reutilizable, por lo que todos pueden usarlo para la autenticación y la reautenticación.
Administración de llaves de acceso
La incorporación de una página completamente nueva en las páginas de configuración de la Cuenta de Google requería consideraciones cuidadosas para garantizar una experiencia del usuario coherente, intuitiva y coherente.
Para lograrlo, analizamos los patrones relacionados con la navegación, el contenido, la jerarquía, la estructura y las expectativas establecidas que existían en la Cuenta de Google.
Describir las llaves de acceso por ecosistema
Para crear un sistema de categorías de alto nivel que sería lógico de entender, nos decidimos por describir las llaves de acceso por ecosistema. De esta manera, un usuario podría reconocer dónde se creó una llave de acceso y dónde se usa. Cada proveedor de identidad (Google, Apple y Microsoft) tiene un nombre para su ecosistema, por lo que elegimos usarlos (Administrador de contraseñas de Google, llaveros de iCloud y Windows Hello, respectivamente).
Para ello, agregamos metadatos adicionales, como cuándo se creó, cuándo se usó por última vez y el SO específico en el que se usó. En términos de acciones de administración de usuarios, la API solo admite cambiar el nombre, revocarlo y crearlo.
El cambio de nombre permite a los usuarios asignar nombres personales significativos a las llaves de acceso, lo que podría ayudar a cohortes específicas de usuarios a realizar un seguimiento y comprenderlas con mayor facilidad.
La revocación de una llave de acceso no la borra del administrador de credenciales personales del usuario (como el Administrador de contraseñas de Google), pero la vuelve inutilizable hasta que se vuelve a configurar. Por eso, elegimos una cruz, en lugar de un ícono de papelera o de borrar, para representar la acción de revocar una llave de acceso.
Cuando se describe la acción de agregar una llave de acceso a su cuenta, la frase "Crear llave de acceso" resonó mejor con los usuarios en comparación con "Agregar una llave de acceso". Esta es una opción de lenguaje sutil para distinguir las llaves de acceso de las llaves de seguridad tangibles de hardware (aunque hay que tener en cuenta que las llaves de acceso se pueden almacenar en algunas llaves de seguridad de hardware).
Cómo proporcionar contenido adicional
La investigación interna demostró que el uso de llaves de acceso es una experiencia relativamente fluida y familiar. Sin embargo, al igual que con cualquier tecnología nueva, hay inquietudes y preguntas pendientes que surgirán para algunos usuarios.
En el contenido del Centro de ayuda de la llave de acceso de Google, se abordan la manera en que funciona la tecnología detrás del bloqueo de pantalla, qué la hace más segura y las situaciones de "qué pasaría si" más comunes que encontró Google durante las pruebas. Tener listo el contenido de asistencia con el lanzamiento de las llaves de acceso es fundamental para una transición sencilla para los usuarios de cualquier sitio.
Recurrir a las llaves de acceso
Revertir al sistema anterior es tan simple como hacer clic en "Probar otro método" cuando se le solicita a un usuario que se autentique con una llave de acceso. Además, salir de la IU de WebAuthn iniciará a los usuarios en una ruta para volver a probar su llave de acceso o acceder a su Cuenta de Google de formas tradicionales.
Conclusión
Aún estamos en las primeras etapas de las llaves de acceso, por lo que, cuando diseñes la experiencia del usuario, ten en cuenta algunos principios:
- Presenta llaves de acceso cuando sea relevante para el usuario.
- Destaca los beneficios de las llaves de acceso.
- Aprovecha las oportunidades para familiarizarse con el concepto de las llaves de acceso.
- Posiciona las llaves de acceso como alternativa a las contraseñas y no como un reemplazo.
Las decisiones que tomamos sobre las llaves de acceso para las Cuentas de Google se basaron en las prácticas recomendadas y la investigación interna, y seguiremos mejorando la experiencia del usuario a medida que obtengamos nuevas estadísticas de los usuarios del mundo real.