Las claves de acceso son una alternativa más segura y sencilla a las contraseñas que han impulsado Amazon, Apple, Microsoft, Meta y Google entre otras compañías de diferentes sectores. Todas están unidas bajo la FIDO Alliance, que tiene el objetivo de desarrollar y promover estándares de autenticación para reducir la dependencia de las contraseñas. Con estas claves, los usuarios pueden acceder a apps, cuentas y sitios web con un sensor biométrico (como una huella digital o reconocimiento facial), un PIN o un patrón, lo que evita tener que recordar y administrar contraseñas. Los datos biométricos no se comparten.
Cuando un usuario añade una clave de acceso a una cuenta de Google, la plataforma la solicitará siempre que se inicie sesión o cuando se detecte una actividad potencialmente sospechosa que requiera de una verificación adicional. Las claves de acceso para las cuentas de Google se pueden almacenar en un hardware compatible, incluyendo dispositivos Android (con Android 9 o superior), iPhones (con iOS 16 o superior) o cualquier dispositivo que haya adoptado los estándares abiertos (y gratuitos) de la FIDO Alliance.
Usar claves de acceso no significa que se deba emplear el teléfono cada vez que se inicia sesión. En caso de tener varios dispositivos, el sistema permite crear una clave de acceso para cada uno. Además, algunas plataformas hacen una copia de seguridad de las claves de acceso y las sincronizan con otros dispositivos. En caso de iniciar sesión con un nuevo dispositivo o para usar el de otra persona de forma temporal, existe la opción de emplear una clave de acceso almacenada en el móvil. Esto no transfiere la clave de acceso al nuevo dispositivo.
Cuando se crea una clave de acceso en un dispositivo, cualquier persona con acceso a ese dispositivo y la capacidad de desbloquearlo puede iniciar sesión en la cuenta de Google. La compañía reconoce que esto “puede parecer un poco alarmante”, pero considera que a la mayoría de personas les resultará más fácil controlar el acceso a sus dispositivos que recordar una contraseña y estar siempre atento a los intentos de phishing. En caso de perder un dispositivo con una clave de acceso, se puede revocar la clave de forma inmediata en la configuración de la cuenta de Google.
Las claves de acceso usan criptografía de clave pública o asimétrica. Con este sistema, cuando un usuario crea una clave de acceso se genera una clave pública y una clave privada en el dispositivo. Google solo almacena en sus servidores la clave pública (que no sirve de nada a un atacante). Cuando se inicia sesión, Google pide al dispositivo que firme con la clave privada y si el dispositivo lo aprueba, lo que requiere desbloquearlo, se inicia sesión. De esta forma se obtiene tanto la identificación como la autorización sin necesidad de memorizar una contraseña.
