Els usuaris web d'Android poden autenticar-se mitjançant empremtes digitals a mesura que els comptes de Google comencen a permetre la biomètrica

Google a la Xina

Els titulars de comptes de Google aviat podran utilitzar les seves empremtes digitals per autenticar els seus comptes i iniciar sessió a les seves aplicacions connectades a la web d'Android. El fabricant del sistema operatiu Android ha començat a impulsar un tècnica d'autenticació simplificada a serveis cada vegada més grans que obligaven un nom d’usuari i una contrasenya per a un accés segur. L’empenta per a l’autenticació d’empremtes dactilars es produeix després que hi haguessin diversos casos de pirates informàtics amb èxit a causa de la mala selecció de contrasenyes.

Mentre s’intenta trobar mètodes alternatius d’autenticació de seguretat, sembla que les empreses i els proveïdors de serveis en línia s’han conformat amb l’autenticació biomètrica o, més concretament, amb empremta digital. El PIN, l’empremta digital i fins i tot l’identificació facial són mètodes cada cop més habituals que fan servir els usuaris de telèfons intel·ligents per accedir als seus dispositius. Ara les aplicacions web i altres plataformes en línia també permetran tècniques d’autenticació d’empremtes digitals similars. A més de simplificar i agilitzar l’inici de sessió, també s’espera que s’accepti la nova metodologia augmentar la seguretat a causa de la singularitat del sistema d’autenticació biomètric que no es pot piratejar ni duplicar fàcilment.

El World Wide Web Consortium (W3C) aprova l'API WebAuthn:

El World Wide Web Consortium (W3C) i Fast Identity Online o FIDO Alliance havien intentat conjuntament trobar maneres d’augmentar la seguretat en línia. El grup, format per diverses empreses tecnològiques, s’ha preocupat amb raó per la higiene de contrasenyes extremadament deficient que segueixen els usuaris d’Internet. Errors habituals com ara fer servir les mateixes contrasenyes en diverses plataformes, utilitzar contrasenyes simples, no canviar les contrasenyes, no utilitzar autenticació de dos factors i altres mals hàbits han permès als pirates informàtics penetrar en la seguretat de diverses plataformes en línia.

Per combatre la creixent amenaça de les contrasenyes que es trenquen, es va crear l'API WebAuthn. Empreses com Amazon, Apple, Alibaba, Mozilla, PayPal, Yubico i Google han donat suport a WebAuthn, que forma part de l’especificació d’autenticació FIDO2. L’API permet, bàsicament, iniciar la sessió sense contrasenya als serveis web per a mòbils. Per fer-ho realitat, es demana a l'usuari que inicia sessió en un lloc web específic al telèfon que registri el seu dispositiu amb aquest lloc web. Un cop registrat amb èxit, l'usuari pot utilitzar un mètode d'autenticació local prèviament configurat, com ara un codi PIN de bloqueig de pantalla o un mecanisme biomètric per accedir-hi.

Els usuaris d'Android poden iniciar sessió en alguns serveis de Google mitjançant la seva empremta digital https://t.co/IZw6IssukL pic.twitter.com/1UVDSf2AwQ

- Engadget (@engadget) 12 d’agost de 2019

L'API WebAuthn hauria de fer que els comptes en línia siguin més segurs confirmant la identitat de l'usuari amb el menor nombre d'obstacles possibles. A més, els usuaris que opten per aquest mètode còmode i segur hauran de registrar les seves credencials biomètriques amb una plataforma concreta només una vegada. Les aplicacions i aplicacions web natives només acceptarien el nou mètode d’inici de sessió.

Per cert, Google ja ha començat a implementar el sistema d’autenticació sense contrasenya basat en l’API WebAuthn per a alguns dels seus serveis. Els usuaris tindran accés a totes les seves contrasenyes desades Passwords.Google.Com sense haver d'introduir les seves dades d'inici de sessió a Google. Tot i que aquesta és l’única instància de treball del nou mètode sense contrasenya, Google hauria d’estendre el mateix a altres serveis en breu. En poques paraules, aviat els usuaris de telèfons intel·ligents de Google Android, que hagin desat les seves credencials d’inici de sessió a les diverses plataformes de Google, podran iniciar-hi la sessió només amb la seva empremta biomètrica o digital.

Google o altres serveis rebran empremtes digitals reals?

Amb l’ús creixent de l’API WebAuthn i l’autenticació biomètrica, els usuaris es preocupen amb raó si altres plataformes puguin accedir i emmagatzemar la seva informació biomètrica en línia. Per fer front a aquesta mateixa preocupació, Google s’ha assegurat que l’autenticació biomètrica no surt mai del telèfon intel·ligent on s’utilitzen. Dit d’una altra manera, ni Google ni altres empreses reben una còpia de les empremtes digitals dels usuaris. Tot s'executa localment i només s'envia una 'prova'. 'Només s'envia als servidors de Google una prova criptogràfica que l'heu escanejat correctament. Aquesta és una part fonamental del disseny FIDO2 ', ha assenyalat Google.

Fent l'autenticació encara més fàcil amb la verificació d'usuaris locals basada en FIDO2 per a comptes de Google | Bloc de seguretat en línia de Google https://t.co/k5Rqr786Y6

La funció està disponible avui en dispositius Pixel i arribarà a tots els dispositius Android 7+ durant els propers dies.
#WebAuthn # FIDO2 pic.twitter.com/0XebmtEB3O

- material * (@matiere) 13 d'agost de 2019

Els telèfons intel·ligents de Google Android amb Android Nougat 7.0 i versions posteriors haurien de començar aviat a oferir als usuaris la possibilitat d’iniciar sessió sense utilitzar credencials d’inici de sessió. No cal afegir-hi que els usuaris hauran d’iniciar sessió obligatòriament al seu compte de Google personal al dispositiu i configurar un codi de bloqueig de pantalla. Dit d’una altra manera, els telèfons intel·ligents Android no garantits no guanyaran capacitat. A més, Google restringeix la possibilitat d’accedir a plataformes web amb dades biomètriques només mitjançant el seu navegador Chrome. És molt probable que el gegant de la cerca inclogui aviat altres aplicacions.

WebAuthn API i FIDO2 inicien sessió per convertir-se en estàndard aviat?

Google ja feia temps que va introduir l’autenticació de dos factors. La companyia continua instant els usuaris a activar la funció per augmentar encara més la seguretat. Hi ha diverses garanties per detectar dispositius que s’utilitzen regularment i advertir els usuaris mitjançant correu electrònic i SMS sobre l’accés des de dispositius desconeguts. Tot i que hi ha altres mètodes d’inici de sessió, l’autenticació biomètrica és, amb diferència, la més senzilla, la més utilitzada i la més ràpida. Per tant, la seva adopció també hauria de ser la més ràpida, ja que la majoria dels usuaris de telèfons intel·ligents Android ja en fan servir el mateix per accedir als seus dispositius.

Curiosament, molts ordinadors portàtils i altres dispositius portàtils tenen un escàner d’empremtes digitals. Per tant, el requisit de maquinari ja està en vigor. Amb l’empenta de Google, moltes altres empreses haurien de començar a adoptar i acceptar ràpidament les empremtes digitals dels usuaris com a dades d’inici de sessió.