DoiT acquires SELECT to optimize Snowflake and BigQuery
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

Cómo implementar el login sin contraseña con Google Workspace

By Dustin ChristliebSep 29, 20234 min read

Esta página también está disponible en English, Deutsch, Français, Italiano, 日本語 y Português.

¿Qué es el login con passkey de Google?

Google liberó recientemente la autenticación con Passkey en Open Beta para las cuentas de Google Workspace. Esta funcionalidad refuerza la protección frente a amenazas como los ataques de phishing y, al mismo tiempo, hace más cómodo el inicio de sesión. Los usuarios inscritos ingresan el correo de su cuenta de Google y se les pide completar el proceso de autenticación en un dispositivo registrado en su cuenta como Passkey.

Solicitud de inicio de sesión con autenticación sin contraseña.

Ventajas frente a las contraseñas, y cuándo seguir usándolas.

La autenticación con Passkey es el primer paso hacia el acceso sin contraseña en las cuentas de Google Workspace. Una vez activada, los usuarios de Google pueden iniciar sesión mediante reconocimiento facial, huella dactilar, PIN o el bloqueo de pantalla del dispositivo con Passkey. Habilitar la autenticación sin contraseña no elimina el método de autenticación con contraseña. Una gran ventaja de la Passkey es que, salvo en ciertos casos, los usuarios no tienen que recordar ni copiar y pegar la contraseña de su cuenta desde un gestor de contraseñas. Si el dispositivo con la Passkey se pierde o no está disponible donde se necesita iniciar sesión, el usuario puede hacer clic en la opción "Try Another Way" para volver al método de contraseña con verificación en dos pasos. Esta opción resulta útil, por ejemplo, al iniciar sesión en una cuenta de Google desde una máquina virtual o un dispositivo remoto.

Otra forma en que los administradores pueden ver esta funcionalidad: cada vez que un usuario que inscribió una Passkey en su cuenta de Google necesite autenticarse en Google Workspace, se enviará una solicitud a su dispositivo inscrito. Ese dispositivo está protegido con una contraseña u otro tipo de bloqueo de pantalla, requisito indispensable para funcionar como passkey. El usuario podrá acceder a su cuenta si tiene en su poder el dispositivo y puede desbloquearlo con el mecanismo de bloqueo de pantalla configurado. Así se evita tener que ingresar la contraseña de la cuenta de Google, ya que se utiliza un dispositivo de segundo factor como passkey y el propio usuario lo asegura con un bloqueo de pantalla antes de poder usar el inicio de sesión sin contraseña.

Al momento de escribir este artículo, la autenticación con Passkey no está disponible al agregar una cuenta de Google a un dispositivo móvil, y puede que las passkeys no funcionen según el sistema operativo y el navegador cuando se usan modos de navegación privada (incógnito o equivalente).

Solicitud Try Another Way para iniciar sesión con contraseña y verificación en dos pasos.

Requisitos:

  1. Los administradores deben permitir omitir contraseñas en el inicio de sesión mediante el control de la Admin Console.
  2. Las cuentas de Google Workspace deben usar Google como proveedor de identidad. La autenticación con Passkey de Google no aplica cuando los usuarios inician sesión con un proveedor de identidad de terceros.
  3. Las computadoras y dispositivos móviles de los usuarios necesitan un navegador compatible, por ejemplo:
  • Chrome 109 o superior
  • Safari 16 o superior
  • Edge 109 o superior

4. Las passkeys se pueden crear en estos dispositivos:

  • Una laptop o computadora de escritorio con al menos Windows 10, macOS Ventura o ChromeOS 109
  • Un dispositivo móvil con al menos iOS 16 o Android 9
  • Una llave de seguridad por hardware compatible con el protocolo FIDO2

5. Para crear y usar una Passkey, el dispositivo debe tener el bloqueo de pantalla habilitado, además de Bluetooth si quieres usar una passkey en un dispositivo móvil para iniciar sesión en otra computadora.

Cómo habilitar la funcionalidad e inscribir passkeys

Los administradores de Google Workspace deben habilitar la autenticación sin contraseña desde la Google Workspace Admin Console mediante unidades organizativas (OUs) o grupos. Hay un breve tiempo de propagación entre el momento en que se permite este mecanismo de autenticación y el momento en que los usuarios ven la opción para activar el inicio de sesión sin contraseña.

Controles de Passwordless (Beta) en la Admin Console.

Una vez habilitada la autenticación sin contraseña desde la Admin Console, los usuarios pueden ir a https://g.co/passkeys para ver, crear y eliminar Passkeys de sus cuentas. Como medida general de seguridad, las passkeys solo deben crearse en dispositivos que no sean compartidos, ya que cualquier persona que pueda desbloquear el dispositivo con la passkey podrá acceder a las cuentas de Google asociadas a él. Por ahora, el inicio de sesión con passkey no se puede forzar, pero sí se puede ofrecer a los usuarios como una opción para acceder a su cuenta de Google.

Visualización y edición de passkeys en tu cuenta de Google.

Una vez inscrita una Passkey, los usuarios optan por la experiencia passkey-first, sin contraseña. Hay un control a nivel de usuario en https://myaccount.google.com/security para elegir omitir la autenticación con contraseña cuando sea posible e iniciar sesión solo con una passkey o la solicitud del dispositivo.

Interruptor para omitir la contraseña cuando sea posible.

Conclusión

El nuevo control de autenticación sin contraseña para cuentas de Google ya está disponible en open beta tanto para cuentas personales como corporativas. Activar esta funcionalidad refuerza la seguridad de la cuenta y agiliza la experiencia de inicio de sesión. Si bien Google es uno de los varios proveedores de servicios en la nube que ofrecen este tipo de autenticación, en https://passkeys.directory/ (mantenido por 1Password.com) se detallan otros proveedores que ya implementaron el inicio de sesión sin contraseña.