Las claves de acceso son una tecnología de autenticación simple y segura entre dispositivos, que permite crear cuentas en línea e iniciar sesión en ellas sin ingresar una contraseña. Para iniciar sesión en una cuenta, se les solicita a los usuarios simplemente que usen el bloqueo de pantalla en su dispositivo, como tocar el sensor de huellas dactilares.
Hace años que Google trabaja con la Alianza FIDO, junto con Apple y Microsoft, para llevar las claves de acceso al mundo. En 2022, implementamos la compatibilidad de la plataforma con las claves de acceso para que los usuarios de Android y Chrome puedan iniciar sesión sin problemas en las aplicaciones y los sitios web disponibles en todos sus dispositivos. En mayo de 2023, habilitamos el inicio de sesión en las cuentas de Google con claves de acceso, lo que proporcionó la seguridad y la comodidad de las claves de acceso a nuestros usuarios.
Google cuenta con una posición única, ya que nos encontramos trabajando en la infraestructura de las claves de acceso y somos uno de los servicios más grandes que las utiliza. Estamos trabajando en la implementación de claves de acceso para las cuentas de Google de manera cuidadosa y deliberada, para que podamos medir los resultados y utilizar esos comentarios con el fin de continuar mejorando la infraestructura de claves de acceso y la experiencia con la cuenta de Google.
Las contraseñas solían ser el método de inicio de sesión estándar desde la llegada de las experiencias en línea personalizadas. ¿Cómo presentamos la experiencia sin contraseña de las claves de acceso?
Las investigaciones indican que, en lo que respecta a la autenticación, los usuarios valoran más la comodidad. Quieren una transición fluida y rápida a la experiencia real, que solo llega después de que se inicia sesión.
Aun así, la transición a las claves de acceso requiere cambiar la memoria muscular y los usuarios deben estar convencidos de que vale la pena hacer ese cambio.
La experiencia de usuario de las claves de acceso de Google.com se diseñó estratégicamente para enfatizar dos principios en cada paso del proceso de autenticación: facilidad de uso y seguridad.
La primera pantalla de clave de acceso que ven los usuarios es ligera y fácil de comprender. El encabezado se concentra en el beneficio para el usuario y dice "Simplifique su inicio de sesión".
La copia del cuerpo explica: "Con las claves de acceso, ahora puedes usar tu huella digital, tu cara o el bloqueo de pantalla para verificar que realmente eres tú".
El objetivo de la ilustración es justificar el mensaje de la propuesta de valor que realiza la página. La acción principal azul grande invita al usuario a continuar. Se incluye "Ahora no" como una acción secundaria para permitir a los usuarios elegir si desean o no participar en este momento, por lo que el usuario retiene el control. Y se ofrece "Más información" para los usuarios más curiosos que deseen comprender mejor las claves de acceso antes de continuar.
Exploramos muchas iteraciones de las páginas utilizadas para presentar a los usuarios las claves de acceso durante el inicio de sesión. Se incluyó contenido de prueba que enfatizaba la seguridad, la tecnología y otros aspectos de las claves de acceso, pero la conveniencia fue realmente lo que más resonó. La estrategia de contenido, la ilustración y el diseño de interacción de Google demuestran este principio fundamental en relación con la implementación por nuestra parte de claves de acceso.
Las claves de acceso son un término nuevo para la mayoría de los usuarios, por lo que nuestra intención es exponer a los usuarios al uso del término para familiarizarlos. Guiados por la investigación interna, asociamos estratégicamente las claves de acceso con la seguridad.
La palabra "clave de acceso" se incluye en todo el flujo de inicio de sesión en la ubicación del texto del cuerpo menos prominente. Siempre se ubica entre las experiencias de seguridad familiares que permiten el uso de claves de acceso: huella digital, escaneo facial u otro bloqueo de pantalla del dispositivo.
Nuestra investigación demostró que muchos usuarios asocian la biometría con la seguridad. Si bien las claves de acceso no requieren datos biométricos (una clave de acceso se puede usar con un PIN del dispositivo, por ejemplo), tendemos a asociar las claves de acceso con los datos biométricos para aumentar la percepción que tienen los usuarios de los beneficios de seguridad de las claves de acceso.
El contenido adicional detrás de "Más información" tiene mucha información valiosa para los usuarios, incluida la garantía de que los datos biométricos confidenciales de los usuarios permanecen en su dispositivo personal y nunca se almacenan ni comparten al crear o usar claves de acceso. Tomamos este enfoque porque a la mayoría de los usuarios les pareció atractivo el aspecto de conveniencia de las claves de acceso, pero solo unos pocos tuvieron en cuenta el elemento biométrico durante las pruebas.
La heurística de Google determina cuidadosamente quién verá la pantalla introductoria. Algunos de los factores son si un usuario tiene habilitada la verificación en dos pasos y si accede a esa cuenta regularmente desde el mismo dispositivo.
Los usuarios que tienen más probabilidades de tener éxito con las claves de acceso se seleccionan primero y, con el tiempo, se presentarán a más usuarios (sin embargo, cualquiera puede comenzar hoy en g.co/passkeys).
Se solicita a los usuarios seleccionados que creen una clave de acceso después de iniciar sesión con un nombre de usuario y una contraseña. Hay algunas razones por las que elegimos este momento en el recorrido del usuario:
La investigación inicial de los usuarios muestra que muchos usuarios aún desean contar con contraseñas como método de inicio de sesión de respaldo. Y no todos los usuarios tendrán la tecnología necesaria para adoptar claves de acceso.
Entonces, mientras la industria, incluido Google, se dirige hacia un "futuro sin contraseñas", Google posiciona intencionalmente las claves de acceso como una alternativa simple y segura a las contraseñas. La IU de Google se centra en los beneficios de las claves de acceso y evita mensajes que implican deshacerse de las contraseñas.
Cuando los usuarios eligen inscribirse, verán un modal de IU específico del navegador que les permite crear una clave de acceso.
La clave de acceso en sí se muestra con el ícono alineado con la industria y la información utilizada para crearla. Aquí se incluye el nombre visible (un nombre amigable para la clave de acceso, como el nombre real del usuario) y el nombre de usuario (un nombre único en el servicio; una dirección de correo electrónico puede funcionar muy bien aquí). En lo que respecta a trabajar con el ícono de claves de acceso, la alianza FIDO recomienda usar el ícono de claves de acceso comprobado y hacerlo propio personalizándolo.
El ícono de claves de acceso se muestra de manera consistente a lo largo del recorrido del usuario, con el fin de crear una familiaridad con lo que el usuario verá al usar o administrar la clave de acceso. El ícono de la clave de acceso nunca se presenta sin contexto ni material de apoyo.
Con anterioridad, describimos cómo el usuario y la plataforma trabajan de manera conjunta para crear una clave de acceso. Cuando el usuario hace clic en "Continuar", se le presentará una IU única en función de la plataforma.
Teniendo esto en mente, comprobamos a través de la investigación interna que una pantalla de confirmación una vez que se crea la clave de acceso resulta muy útil en términos de comprensión y cierre en este paso del proceso.
La pantalla de confirmación es una "pausa" deliberada para cerrar el recorrido de incorporación de un usuario a las claves de acceso y el paso por el proceso de creación de una propia. Como es (probablemente) la primera vez que un usuario interactúa con las claves de acceso, esta página tiene como objetivo proporcionar un cierre claro del recorrido. Elegimos una página independiente después de probar otras herramientas, como notificaciones más pequeñas e, incluso, un correo electrónico posterior a la creación, simplemente para proporcionar una experiencia estructurada y estable de principio a fin.
Una vez que el usuario hace clic en "Continuar" aquí, se lo redirige a su destino.
La próxima vez que un usuario intente iniciar sesión, verá esta página. Utiliza los mismos diseños y llamado a la acción principal y la misma ilustración para evocar la primera experiencia de "creación" descrita anteriormente. Una vez que el usuario haya tomado la decisión de inscribirse en las claves de acceso, esta página le resultará familiar y reconocerá los pasos que debe seguir para iniciar sesión.
El mismo principio de familiaridad se aplica aquí. La intención es utilizar la misma iconografía e ilustración y el mismo diseño y texto. El texto dentro de la IU de WebAuthn se mantiene breve, amplio y reutilizable, por lo que todos pueden usarlo tanto para la autenticación como para la reautenticación.
La presentación de una página completamente nueva dentro de las páginas de configuración de la cuenta de Google requirió un cuidadoso proceso de consideración para garantizar que la experiencia de usuario fuera coherente, intuitiva y consistente.
Para lograrlo, analizamos los patrones de navegación, contenido, jerarquía, estructura y expectativas establecidas que existían en la cuenta de Google.
Para crear un sistema de categorías de alto nivel que fuera lógico entender, nos decidimos por describir las claves de acceso por ecosistema. De esta manera, un usuario podría reconocer dónde se creó una clave de acceso y dónde se utiliza. Cada proveedor de identidades (Google, Apple y Microsoft) tiene un nombre para su ecosistema, por lo que elegimos usarlos (Google Password Manager, iCloud keychain y Windows Hello, respectivamente).
Para respaldarlo, agregamos metadatos adicionales, como cuándo se creó, cuándo se usó por última vez y el sistema operativo específico en el que se usó. En términos de acciones posibles de administración de usuarios, la API solo admite el cambio de nombre, la revocación y la creación.
El cambio de nombre permite a los usuarios asignar nombres que resulten significativos en lo personal a las claves de acceso, lo que podría ayudar a que determinados grupos de usuarios puedan realizar un seguimiento de los nombres y comprenderlos más fácilmente.
La revocación de una clave de acceso no la elimina del administrador de credenciales personales del usuario (como el Administrador de contraseñas de Google), sino que la inutiliza hasta que se vuelve a configurar. Es por eso que elegimos una cruz, en lugar de un ícono de basura o eliminar, para representar la acción de revocar una clave de acceso.
Al describir la acción de agregar una clave de acceso a su cuenta, la frase "Crear clave de acceso" resonó mejor con los usuarios en comparación con "Agregar una clave de acceso". "Se trata de una opción de lenguaje sutil para distinguir las claves de acceso de las claves de seguridad de hardware tangibles (aunque debe tenerse en cuenta que las claves de acceso se pueden almacenar en algunas claves de seguridad de hardware).
La investigación interna mostró que el uso de claves de acceso es una experiencia relativamente fluida y familiar. Sin embargo, como sucede con cualquier nueva tecnología, hay preguntas e inquietudes que persistirán en relación con algunos usuarios.
La información respecto de la forma en que la tecnología funciona detrás del bloqueo de pantalla, lo que la hace más segura y los escenarios más comunes de "qué pasaría si" con los que Google se encontró en las pruebas se aborda en el contenido del Centro de ayuda de Google. Tener el contenido de compatibilidad listo al momento del lanzamiento de las claves de acceso es fundamental para lograr una transición fácil para los usuarios de cualquier sitio.
Es posible retornar al sistema anterior con solo hacer clic en "intentarlo de otra manera" cuando se le pide a un usuario que se autentique con una clave de acceso. Además, salir de la IU de WebAuthn llevará a los usuarios por un recorrido en el que se volverá a probar la clave de acceso o iniciar sesión en su cuenta de Google de manera tradicional.
Nos encontramos aún en los primeros días de las claves de acceso, por lo que, al diseñar la experiencia del usuario, hay que tener en cuenta algunos principios:
Las elecciones que hicimos en relación con las claves de acceso para las cuentas de Google se basaron en las mejores prácticas y la investigación interna, y continuaremos mejorando la experiencia del usuario a medida que obtengamos nueva información por parte de los usuarios del mundo real.