Hace cinco años el equipo de registro de usuario de Google publicó un mapa de ruta para una autenticación más fuerte del usuario. Ahora se emitió un informe sobre ese mapa de ruta y una versión actualizada de los proyectos que tiene el equipo.

Eric Sachs, el administrador de producto del grupo Google para identificación, abordó los avances y desafíos que ese equipo de trabajo ha tenido durante este período de tiempo. Google se las ha ingeniado para incrementar la seguridad mediante el análisis de más señales en el registro de usuario para crear más retos de registros basados en el riesgo. Se ha añadido un proceso de verificación optativo de dos factores. Tiene un registro de usuario estilo OpenID que otros sitios web están comenzando a ofertar, y OAuth está implementado en las aplicaciones nativas.

Lamentablemente, aunque OpenID es una herramienta fuerte de autenticación, es complicada de implementar, algo en lo que Google tiene planes de seguir trabajando. Google también descubrió en los pasados cinco años que la recuperación de cuenta es un problema difícil y costoso, sobre todo porque los hackers y ladrones de identidad se ha vuelto más sofisticados.

Sachs comenta en su escrito que el mapa de ruta de Google ha sido eficaz, sentando las bases para que el equipo pueda continuar introduciendo mejoras en su sistema de autenticación. La adopción de teléfonos móviles también ha estimulado la continuidad de este esfuerzo.

El equipo además tiene planes de realizar un cambio drástico en su sistema de registro de usuario. Los usuarios tendrán que escoger entre optar por la capacidad de registro de doble factor de Google o tendrán que pasar una prueba de doble factor en la mayoría de sus intentos por iniciar sesión.

Google está probando ChannelID, que ya está disponible en Chrome, para emplearlo en la cuenta Google en los tokens y cookies del registro de usuario. Este esfuerzo está dirigido a lograr que los signos de usuario sean menos riesgosos y vulnerables a ataques.

Los experimentos de Google están siendo impulsados también por un hardware más inteligente. Ahora que las aplicaciones iOS y Android pueden generar códigos OTP (contraseña de un solo uso), Google quiere ver si una aplicación telefónica puede dar notificaciones sobre comportamiento riesgoso en una cuenta y pedir aprobación antes que se produzca ese comportamiento. Con ese fin, Google está trabajando con la alianza de segundo factor universal FIDO (U2F), un sistema abierto de “dispositivos de llavero” que puede ser utilizado por los propietarios de sitios web.

Sachs dice que en los próximos cinco años Google también pretende explorar vías para desbloquear un dispositivo y confirmar una acción riesgosa, incluso empleando biometría para hacerlo. Está buscando además formas para combinar métodos de autenticación en tokens portátiles, que incluyan capacidades biométricas o NFC.