Reconfiguración de la autenticación del usuario y la verificación de identidad

Ashima Arora

Chirag Desai

Eiji Kitamura

Este año, en Google I/O, compartimos cómo Chrome está cambiando la forma de autenticar a los usuarios y verificar su identidad en la Web con el poder de la API del navegador. Ya sea que uses contraseñas, llaves de acceso o la integración, Chrome ofrecerá una experiencia de acceso y registro unificada que sea más sencilla, segura y fácil de usar.

Descubre las herramientas y prácticas recomendadas más recientes para mejorar el registro y el acceso en tu sitio web.

Consulta la página de la sesión o sigue leyendo para obtener más información sobre los aspectos más destacados.

El navegador como aliado para acceder

La autenticación en la Web evoluciona. Con las crecientes expectativas de los usuarios, las nuevas reglamentaciones y un ecosistema en expansión de herramientas de identidad digital, los desarrolladores deben ofrecer flujos de acceso y registro que sean seguros, fluidos y que preserven la privacidad. Chrome está aquí para ayudarte.

Existen tres áreas de enfoque principales:

• Autenticación de usuarios: Te ayuda a admitir flujos de acceso seguros con una mejor administración de contraseñas, una adopción más sencilla de llaves de acceso y compatibilidad integrada con la federación de identidades a través de la administración de credenciales federadas (FedCM).
• Verificación de identidad: Te permite solicitar detalles verificados del usuario, como la edad o la propiedad de la ID, con credenciales digitales de billeteras móviles.
• Administración de sesiones: Te ayuda a proteger a los usuarios después de que acceden, ya que vincula las sesiones a su dispositivo con credenciales de sesión vinculadas al dispositivo.

Explora las herramientas y las APIs que hacen posible todo esto.

Administrador de credenciales para la Web: Una IU de acceso para todas tus credenciales

El acceso debe ser conveniente. Sin embargo, con las contraseñas, las llaves de acceso y las opciones federadas en juego, los usuarios a menudo se enfrentan a una combinación confusa de opciones.

Chrome extiende la API de Credential Manager, lo que te permite solicitar credenciales desde el navegador, independientemente del tipo, con una interfaz coherente. Si las credenciales están disponibles desde un administrador de contraseñas, Chrome se las mostrará al usuario en un solo diálogo, lo que reducirá la complejidad para el usuario.

Si Chrome no encuentra credenciales, te lo informaremos y podrás usar tu propio flujo de acceso.

Esta nueva experiencia reduce la fricción y hace que el acceso sea más sencillo.

Esta función se encuentra en pruebas para desarrolladores. Para comenzar a usarlo de forma local, habilita la marca chrome://flags#enable-experimental-web-platform-features, incluye las credenciales password y publicKey, y usa mediation: "immediate" para habilitar la mediación inmediata.

En el siguiente fragmento de código, se muestra cómo debería verse:

const cred = await navigator.credentials.get({
  password: true,
  publicKey: {
    challenge,
    rpId: 'example.com'
  },
  mediation: 'immediate',
});

Obtén más información en nuestro documento sobre cómo probar la mediación inmediata en Chrome.

Contraseñas: más inteligentes y seguras

Las contraseñas siguen siendo el método de autenticación más común del mundo. Los navegadores y los administradores de contraseñas ofrecen herramientas para mejorar la experiencia de acceso con contraseñas, pero los sitios no siempre las adoptan.

Chrome admite prácticas más seguras con funciones del Administrador de contraseñas de Google, como la generación de contraseñas en formularios de registro o las verificaciones de violaciones de contraseñas para advertir a los usuarios sobre credenciales vulneradas.

Estas son algunas herramientas para mejorar la experiencia de usar contraseñas en tu sitio.

Cambio automatizado de contraseña: Corrige las contraseñas hackeadas con un clic

El Cambio automático de contraseña, que se lanzará más adelante este año para algunos sitios web, permite que los usuarios respondan más fácilmente cuando sus credenciales están en riesgo.

Cuando Chrome detecta una contraseña vulnerada durante el acceso, el Administrador de contraseñas de Google le solicita al usuario que la corrija automáticamente.

En los sitios web compatibles, Chrome puede generar un reemplazo seguro y actualizar la contraseña del usuario automáticamente.

Esto reduce la fricción y ayuda a los usuarios a mantener su cuenta segura, sin tener que buscar en la configuración de la cuenta ni abandonar el proceso a mitad de camino.

Hay medidas que puedes tomar para optimizar tu sitio web y que funcione en conjunto con los navegadores y los administradores de contraseñas.

• Optimización de Autocompletar: Usa autocomplete="current-password" y autocomplete="new-password" para activar el autocompletado y el almacenamiento. Consulta nuestras guías de acceso y registro.
• URLs de cambio de contraseña: Realiza un redireccionamiento de <your-website-domain>/.well-known/change-password al formulario de cambio de contraseña en tu sitio web (URL de cambio de contraseña conocida). Cuando se detecta una contraseña vulnerable, los administradores de contraseñas pueden dirigir al usuario a la página para cambiar la contraseña.

Uso compartido de credenciales fluido: Un acceso en la app y la Web

Los administradores de contraseñas hacen mucho más que almacenar contraseñas. Ayudan a evitar la suplantación de identidad (phishing) porque solo ofrecen credenciales cuando el dominio coincide. Sin embargo, los usuarios pueden tener problemas cuando tu servicio abarca varios dominios y plataformas.

Por ejemplo:

• Un usuario se registra en tu app para Android y, más tarde, visita tu sitio web en una laptop.
• O bien ofreces varios dominios o apps que aceptan el mismo acceso

Sin una credencial compartida, no ofreceremos una contraseña guardada, por lo que es posible que los usuarios tengan dificultades para acceder.

El uso compartido de credenciales eficiente ayuda a solucionar este problema. Si asocias tus apps y sitios, el Administrador de contraseñas de Google puede compartir la contraseña sin problemas entre esos recursos, lo que brinda una experiencia de acceso más fluida y optimizada.

eBay aumentó su porcentaje de accesos exitosos en un 10%. Obtén más información en un caso de éxito: Cómo eBay mejoró en un 10% las tasas de éxito de acceso con el uso compartido de credenciales sin inconvenientes.

Llaves de acceso: Un método de acceso más simple y seguro

Las llaves de acceso son una alternativa más segura a las contraseñas que ayudan a los usuarios a acceder de forma segura a sitios web y apps con su mecanismo de desbloqueo de dispositivos, como datos biométricos (por ejemplo, sus huellas dactilares o rostro), un PIN o un patrón. Son resistentes al phishing, fáciles de usar y son un estándar ampliamente adoptado en navegadores y sistemas operativos.

Sincroniza llaves de acceso en todas las plataformas

Los usuarios almacenan llaves de acceso en su administrador de contraseñas, pero algunos administradores no las sincronizan. Esto puede causar problemas si un usuario intenta acceder desde un dispositivo en el que la llave de acceso no está disponible. En ese caso, Chrome muestra un código QR para que el usuario complete el acceso desde otro dispositivo que tenga la credencial.

Para reducir esta fricción, Chrome agregó compatibilidad con la sincronización de llaves de acceso en el Administrador de contraseñas de Google.

Ahora que la compatibilidad se extendió a iOS, las llaves de acceso del Administrador de contraseñas de Google se pueden sincronizar en todas las plataformas principales, como Android, Windows, macOS, ChromeOS y Linux. Obtén más información en el artículo Entornos compatibles.

Mediación inmediata: Solicita solo las credenciales disponibles

Algunos usuarios no sincronizaron las llaves de acceso en todos sus dispositivos. Si no se encuentra una llave de acceso de forma local, es posible que Chrome muestre un código QR para que el usuario pueda usar otro dispositivo que tenga la credencial. Esto funciona, pero puede generar fricciones.

Para reducir esa fricción, Chrome admite una nueva opción: mediation: 'immediate'. Esto permite que tu sitio solicite solo las credenciales que ya están disponibles en el dispositivo actual. Si no se encuentra ninguno, el usuario no verá nada. Sin indicaciones, sin códigos QR ni interrupciones. Chrome te lo informará para que puedas mostrar tu IU de acceso habitual.

Esto mejora la experiencia, ya que evita los flujos de códigos QR para los usuarios que no tienen credenciales.

Usa este enfoque cuando un usuario realice cualquier acción significativa, como hacer clic en un botón de acceso o confirmación de la compra. Cuando usas navigator.credentials.get() con mediation: 'immediate', si hay una llave de acceso disponible en el dispositivo actual, Chrome le solicita al usuario de inmediato. De lo contrario, el usuario continuará sin interrupciones, y puedes mostrar un campo de contraseña, un código de un solo uso o algún otro método.

También puedes aumentar las probabilidades de ayudar al usuario a acceder configurando password: true. Esto permite que Chrome muestre las contraseñas guardadas junto con las llaves de acceso, si están disponibles.

En el siguiente ejemplo, se muestra cómo solicitar una llave de acceso con mediación inmediata:

navigator.credentials.get({
  publicKey: {
    challenge: new Uint8Array([/* your challenge here */]),
    rpId: 'example.com'
  },
  mediation: 'immediate',
  // password: true <== enable this to request passwords alongside passkeys
}).then(credential => {
  // Use the credential for sign in
}).catch(error => {
  if (error.name === 'NotAllowedError') {
    // No credential found on this device, fall back to another method
  } else {
    console.error('Error during sign-in', error);
  }
});

Esta función se encuentra en los recorridos para desarrolladores y puedes obtener más información al respecto en la explicación de la mediación inmediata de WebAuthn.

Creación automática de llaves de acceso

Muchos usuarios aún acceden con contraseñas. Para ayudarlos a adoptar las llaves de acceso, Chrome presenta una API que te ayuda a crear una llave de acceso para tus usuarios, automáticamente, después de un acceso exitoso con contraseña.

Solo debes solicitar la creación de una llave de acceso. Si el usuario tiene una contraseña guardada que se usó recientemente, el administrador de contraseñas crea una llave de acceso y te informa si se realizó correctamente. Es posible que el usuario reciba una notificación una vez que la llave de acceso esté disponible. Esta acción no borra la contraseña del usuario.

Si no se crea la llave de acceso, el navegador no interrumpirá al usuario ni mostrará ninguna IU.

Esto permite que los usuarios adopten las llaves de acceso de forma gradual, sin interrumpir su flujo de acceso.

Esta función está disponible a partir de Chrome 136. Obtén más información en el artículo Ayuda a los usuarios a adoptar llaves de acceso de forma más fluida.

Cómo limpiar las llaves de acceso con la API de Signal

Si un usuario borra una llave de acceso de tu sitio o app, es posible que su administrador de contraseñas aún la ofrezca durante el acceso, lo que puede generar fallas y confusión. La API de Signal permite que tu app notifique al administrador de contraseñas cuando se haya quitado una llave de acceso, lo que mantiene las listas de credenciales limpias y precisas.

También puedes ayudar a mantener las llaves de acceso actualizadas. Para ello, envía una lista de llaves de acceso conocidas al administrador de contraseñas. Esto permite limpiar las llaves de acceso que no se usen para el usuario.

La API de Signal está disponible a partir de Chrome 132. Obtén más información en Cómo mantener la coherencia entre las llaves de acceso y las credenciales de tu servidor con la API de Signal.

Importación y exportación: Lleva tus credenciales contigo

Los usuarios que cambian de administradores de contraseñas a menudo tienen dificultades para transferir sus credenciales. Chrome agregará compatibilidad con la importación y exportación de llaves de acceso y contraseñas, según los estándares de FIDO. El usuario no necesita administrar archivos.

Mejoras de Autocompletar

Para mostrar las credenciales almacenadas de una manera fácil de usar, Chrome puede mostrar automáticamente el menú desplegable de Autocompletar cuando el formulario de acceso esté listo. Solo admite contraseñas y llaves de acceso en tu formulario y aplica el enfoque automático al campo de entrada.

Esto es útil porque las credenciales se muestran sin que el usuario tenga que hacer clic en un campo. En su lugar, el usuario puede presionar la credencial que desea usar, lo que reduce la fricción.

Obtén más información en el artículo Accede con una llave de acceso mediante el autocompletado del formulario.

Recursos de aprendizaje actualizados

Actualizamos nuestros recursos de aprendizaje sobre llaves de acceso para asegurarnos de que puedas proporcionar la mejor experiencia posible a tus usuarios.

• Crea una llave de acceso para los accesos sin contraseña
• Accede con una llave de acceso mediante el autocompletado del formulario
• Ayuda a los usuarios a administrar las llaves de acceso de manera eficaz

FedCM: Mejora de la identidad federada

La API de Federated Credential Management (FedCM) permite a los usuarios acceder con proveedores de identidad confiables mediante un flujo mediado por el navegador que prioriza la privacidad y la experiencia del usuario. FedCM ayuda a simplificar las experiencias de registro y acceso en la Web, de modo que los desarrolladores puedan admitir una autenticación fluida con menos esfuerzo.

IU más inteligente

FedCM ahora te brinda más control sobre cómo y cuándo aparece el mensaje de acceso. Admite dos modos:

• Modo pasivo: El navegador muestra automáticamente el mensaje de acceso para proveedores de identidad conocidos cuando los usuarios regresan a tu sitio. Esto funciona bien para los usuarios familiarizados, pero puede resultar invasivo si se muestra demasiado pronto.
• Modo activo: El mensaje aparece solo después de que el usuario hace clic en un botón de acceso, lo que crea una experiencia más deliberada.

Esto es importante porque reduce la confusión y evita sorprender a los usuarios. Con el modo activo, los usuarios pueden permanecer en tu sitio y nunca ver un redireccionamiento ni otros diálogos.

Pero Chrome también está trabajando para que el modo pasivo sea más inteligente. En las actualizaciones futuras, se experimentará con técnicas de aprendizaje automático que incorporen indicadores del sitio y del usuario para determinar cuándo y cómo mostrar la IU y brindar una experiencia del usuario óptima.

APIs más flexibles

FedCM te brinda más flexibilidad y control sobre la forma en que los usuarios acceden con identidad federada.

Por ejemplo, la compatibilidad con varios proveedores de identidad te permite mostrarles a los usuarios una lista de proveedores en lugar de uno solo. Esto significa que los usuarios pueden elegir la cuenta que les resulte más conveniente y mejorar las tasas de acceso, a la vez que se mantiene una privacidad sólida.

El navegador aún media cada paso. Los proveedores de identidad solo ven lo que los usuarios permiten de forma explícita, y la privacidad se mantiene protegida durante todo el flujo.

Credenciales digitales: Verificación de ID rápida y privada en línea

Las credenciales digitales se están volviendo más comunes en todo el mundo. Permiten que los usuarios verifiquen atributos como la edad, el estado de estudiante o la identidad a través de una billetera digital. La API de Digital Credentials permite a los usuarios compartir declaraciones verificadas, como la edad o el estado de la licencia, desde su billetera móvil directamente con los sitios web.

Estamos trabajando con el W3C y líderes de la industria para que esto se convierta en un estándar. Nuestro objetivo es lograr una experiencia del usuario fácil de usar, segura, privada y coherente en todas las plataformas.

Estas son algunas funciones interesantes:

• Compatibilidad con varios dispositivos: Los usuarios pueden presentar credenciales de forma segura desde cualquier dispositivo.
• Divulgación selectiva: Los usuarios pueden confirmar detalles como "mayores de 18 años" sin revelar información innecesaria.
• Información verificable. El emisor firma digitalmente los datos, lo que permite una verificación sencilla.
• Emisión: Estamos trabajando para extender la API de credenciales digitales para permitir que los usuarios aprovisionen estas credenciales en su app de billetera.

Credenciales de sesión vinculada al dispositivo: Mantente en tu cuenta y protegido

Las sesiones de los usuarios suelen identificarse por sus cookies, que el software malicioso podría robar de su dispositivo.

Credenciales de sesión vinculada al dispositivo vincula una sesión a un dispositivo específico. Esto reduce el riesgo de secuestro de sesión y mejora la protección cuando accedes a tus cuentas de correo electrónico o redes sociales, o cuando accedes a servicios gubernamentales.

Las DBSC ayudan a los desarrolladores a crear sesiones más seguras y estables, ya que vinculan la autenticación al dispositivo que se usa durante el acceso.

Comentarios

Nos encantaría recibir tus comentarios sobre todo lo que compartimos. Prueba las funciones, explora los vínculos de este documento y danos tu opinión.

Enviar comentarios