En un mundo en el que la seguridad digital es cada vez más importante, las contraseñas se han convertido en un eslabón débil notorio: son engorrosas, a menudo poco seguras y una fuente de frustración para usuarios y desarrolladores. Pero hay buenas noticias: las llaves de acceso están ganando popularidad como el mecanismo de autenticación más seguro, fácil de usar y resistente al phishing. Para los desarrolladores de Android, la API de Gestor de credenciales les ayuda a guiar a sus usuarios para que usen llaves de acceso, al tiempo que garantiza la compatibilidad con los mecanismos de inicio de sesión tradicionales, como las contraseñas.

En esta entrada de blog, hablamos de algunas de las prácticas recomendadas que debes seguir para animar a los usuarios a cambiar a las llaves de acceso.

Información sobre la autenticación con llaves de acceso

Antes de analizar las recomendaciones para fomentar la transición a las llaves de acceso, aquí tienes un resumen de los aspectos básicos de la autenticación con llaves de acceso:

• Llaves de acceso: son credenciales criptográficas que sustituyen a las contraseñas. Las llaves de acceso están asociadas a mecanismos de desbloqueo de dispositivos y son el método de autenticación recomendado para aplicaciones y sitios.
• Gestor de credenciales: una API de Jetpack que proporciona una interfaz de API unificada para interactuar con diferentes tipos de autenticación, como llaves de acceso, contraseñas y mecanismos de inicio de sesión federado, como Iniciar sesión con Google.

¿Cómo ayudan las llaves de acceso a tus usuarios?

Los usuarios disfrutan de varias ventajas tangibles en las aplicaciones que les permiten usar llaves de acceso para iniciar sesión. Estas son las principales ventajas de usar llaves de acceso para los usuarios:

• Experiencia de inicio de sesión mejorada: los usuarios ven la misma interfaz de usuario tanto si usan contraseñas como llaves de acceso o mecanismos de inicio de sesión federado, como la opción de iniciar sesión con Google.
• Tiempo de inicio de sesión reducido: en lugar de escribir contraseñas, los usuarios utilizan los mecanismos de desbloqueo de su teléfono, como la biometría, lo que les permite disfrutar de una experiencia de inicio de sesión fluida.
• Seguridad mejorada: las llaves de acceso usan criptografía de clave pública, por lo que las brechas de seguridad de los proveedores de servicios no comprometen las cuentas protegidas con llaves de acceso. Además, se basan en APIs y protocolos estándar del sector para asegurarse de que no sean vulnerables a ataques de phishing. Consulta más información sobre la sincronización y la seguridad aquí.
• Experiencia unificada en todos los dispositivos: gracias a la posibilidad de sincronizar las llaves de acceso en varios dispositivos, los usuarios disfrutan de una autenticación simplificada independientemente del dispositivo que utilicen.
• No habrá problemas por contraseñas olvidadas.

Para destacar la mejora de la experiencia con las llaves de acceso, hemos recibido comentarios de varias aplicaciones destacadas. X observó que las tasas de inicio de sesión mejoraron el doble después de añadir llaves de acceso a sus flujos de autenticación. KAYAK, un buscador de viajes, observó que el tiempo medio que tardaban sus usuarios en registrarse e iniciar sesión se redujo en un 50% después de incorporar llaves de acceso a sus flujos de autenticación. Zoho, un paquete de software integral basado en la nube centrado en la seguridad y las experiencias fluidas, ha conseguido que los inicios de sesión sean seis veces más rápidos al adoptar las llaves de acceso en su aplicación OneAuth para Android.

¿Qué te espera en la plataforma?

Cuando migres tu aplicación para usar llaves de acceso, aprovecharás la API de Gestor de credenciales, que es el estándar recomendado para la identidad y la autenticación en Android.

Además de las llaves de acceso, la API de Gestor de credenciales admite mecanismos de inicio de sesión tradicionales, lo que simplifica el desarrollo y el mantenimiento de tus flujos de autenticación.

Para todos estos mecanismos de inicio de sesión, Gestor de credenciales ofrece una interfaz de usuario integrada en la hoja inferior, lo que te ahorra tiempo de desarrollo y ofrece a los usuarios una experiencia coherente.

¿Cuándo debes pedir a los usuarios que usen llaves de acceso?

Ahora que hemos hablado de las ventajas de las claves de acceso, vamos a ver cómo puedes animar a tus usuarios a migrar a ellas.

A continuación, se muestra una lista de los flujos de experiencia de usuario en los que puedes promocionar las llaves de acceso:

• Registro de cuentas de usuario: introduce peticiones de creación de llaves de acceso en momentos clave, como cuando los usuarios crean sus cuentas:

Peticiones contextuales durante la creación de la cuenta

• Iniciar sesión: te recomendamos que animes a los usuarios a que soliciten llaves de acceso justo después de que un usuario inicie sesión con una contraseña de un solo uso, una contraseña u otros mecanismos de inicio de sesión.

Solicitar la creación de una llave de acceso durante el inicio de sesión

• Recuperación de la cuenta: el recorrido de usuario crítico (CUJ) de la recuperación de la cuenta es uno que históricamente presenta fricciones para los usuarios. Recomendamos pedir a los usuarios que adopten llaves de acceso durante la recuperación de la cuenta. Los usuarios que adoptan las llaves de acceso disfrutan de una experiencia de recuperación de la cuenta similar a la del inicio de sesión.

Flujo de recuperación de la cuenta

• Cambios de contraseña: es el momento perfecto para pedir a los usuarios que creen una llave de acceso. Después de la frustración que supone un cambio de contraseña, los usuarios suelen ser más receptivos a la comodidad y la seguridad que ofrecen las llaves de acceso.

Crea una llave de acceso para iniciar sesión más rápido la próxima vez

¿Cómo deberías fomentar la transición a las llaves de acceso?

Para animar a los usuarios a que pasen de las contraseñas a las llaves de acceso, es necesario tener una estrategia clara. A continuación, te indicamos algunas prácticas recomendadas:

• Propuesta de valor clara: usa peticiones sencillas y centradas en el usuario para explicar las ventajas de las llaves de acceso. Usa mensajes que destaquen las ventajas para los usuarios. Destaca las siguientes ventajas:
  • Ventajas de seguridad mejoradas, como la protección contra el phishing.
  • No es necesario que escribas una contraseña.
  • Posibilidad de usar la misma llave de acceso en distintos dispositivos o plataformas.
  • Una experiencia de autenticación coherente.

Mensaje de llave de acceso con una propuesta de valor clara

• Ofrece una experiencia de usuario fluida:
  • Usa la interfaz de usuario unificada que proporciona Gestor de credenciales para mostrar todas las opciones de inicio de sesión disponibles. De esta forma, el usuario podrá elegir el método que prefiera sin tener que recordar cuál usó la última vez.
  • Usa el icono oficial de llave de acceso para que los usuarios se familiaricen con él y disfruten de una experiencia coherente.
  • Asegúrate de que los usuarios puedan recurrir a sus métodos de inicio de sesión tradicionales o a un método de recuperación, como un nombre de usuario y una contraseña, si no tienen una llave de acceso o si están usando otro dispositivo.
• Ofrece a los usuarios información clara sobre las credenciales en la interfaz de usuario de los ajustes de tu aplicación: asegúrate de que los usuarios entienden sus opciones de autenticación mostrando información útil sobre cada llave de acceso en los ajustes de tu aplicación. Para obtener más información sobre cómo añadir metadatos de credenciales, consulta la documentación de Gestor de credenciales.

Metadatos de llave de acceso en la pantalla de ajustes de la aplicación

• Informa a los usuarios: complementa los mensajes para que adopten las llaves de acceso con recursos educativos o enlaces en la aplicación que expliquen las llaves de acceso en detalle.
• Lanzamiento progresivo: plantéate un lanzamiento por fases para introducir las llaves de acceso a un subconjunto de tu base de usuarios, recoger comentarios y mejorar la experiencia de usuario antes de un lanzamiento más amplio.

Casos de éxito de desarrolladores

Las experiencias de los desarrolladores en el mundo real suelen destacar cómo las pequeñas decisiones de diseño, como cuándo y dónde mostrar una petición de llave de acceso, pueden influir significativamente en la adopción y la confianza de los usuarios. Para ver cómo funciona, vamos a analizar cómo han mostrado estratégicamente las aplicaciones principales las peticiones de creación de llaves de acceso en momentos clave de sus aplicaciones para impulsar su adopción :

Uber

Para acelerar la adopción de las llaves de acceso, Uber está promocionando de forma proactiva las llaves de acceso en varios recorridos de usuario, junto con estrategias de marketing.

Uber ha compartido lo siguiente: "Más del 90% de los registros con llave de acceso se producen al promocionar la creación de llaves de acceso en momentos clave de la aplicación, en comparación con los CUJs de incorporación y autenticación", lo que subraya la eficacia de su estrategia proactiva.

Conclusiones y estrategias clave de su implementación:

• Ofrece llaves de acceso sin interrumpir la experiencia de usuario principal: Uber añadió una nueva experiencia de revisión de cuentas en la configuración de sus cuentas para destacar las ventajas de las llaves de acceso, lo que dio lugar a altas tasas de adopción de llaves de acceso.

Flujo de revisión de la cuenta de usuario

• Ofrecer las llaves de acceso a los usuarios de forma proactiva: aprendieron que no debían esperar a que los usuarios descubrieran las llaves de acceso de forma natural, ya que, aunque se observaron ventajas como inicios de sesión más rápidos y mayores porcentajes de éxito de inicio de sesión para los usuarios de llaves de acceso, la adopción orgánica habría sido más lenta.
• Usa otros medios para promocionar las llaves de acceso: Uber también está experimentando con la promoción de llaves de acceso a través de campañas de correo electrónico o banners en la pantalla de la cuenta de un usuario para destacar el nuevo método de inicio de sesión, lo que hará que su próximo inicio de sesión sea más fácil y seguro.
• Respeta la elección de los usuarios: como no todos los usuarios están preparados para usar llaves de acceso, Uber ha implementado una lógica de retirada en flujos críticos, como las pantallas de inicio y registro de sesión. En algunos contextos, ofrece llaves de acceso junto con otros métodos de autenticación conocidos.

Esto es lo que nos ha contado Uber:

"En Uber, hemos observado que los usuarios que adoptan las llaves de acceso disfrutan de una experiencia de inicio de sesión más rápida, fluida y segura. Para ayudar a más usuarios a beneficiarse de las llaves de acceso, hemos añadido recordatorios para crear una llave de acceso en momentos clave de la experiencia de usuario: configuración de la cuenta, registro e inicio de sesión. Estas comunicaciones proactivas han acelerado significativamente la adopción de las llaves de acceso".

Ryan O’Laughlin, ingeniero sénior de software de Uber

Economic Times

Economic Times, que forma parte del ecosistema de Times Internet, ofreció una experiencia de usuario fluida como principal motivación para que los usuarios cambiaran a las llaves de acceso.

Tras introducir las peticiones específicas, Economic Times observó una mejora de aproximadamente el 10% en la tasa de finalización de la creación de llaves de acceso durante el periodo de lanzamiento inicial.

Conclusiones y estrategias clave de su implementación:

• Peticiones estratégicas de generación de llaves de acceso: al principio, Economic Times pedía de forma agresiva la creación de llaves de acceso en varios flujos de usuario, pero se observó que este enfoque interrumpía recorridos críticos para la empresa, como las compras de suscripciones o el desbloqueo de funciones premium, y provocaba que los usuarios abandonaran los carritos.
• Enfoque perfeccionado: Economic Times tomó la decisión de eliminar las peticiones de generación de llaves de acceso de los flujos sensibles (como el proceso de compra de suscripciones) para priorizar la finalización inmediata de las acciones.
• Peticiones específicas: han mantenido estratégicamente la generación de llaves de acceso en las áreas donde la intención del usuario de iniciar sesión o gestionar la autenticación es alta, como los flujos de registro inicial, las páginas de inicio de sesión explícito o las secciones de gestión de cuentas.
• Resultado positivo: esta implementación perfeccionada dio lugar a un aumento en el número de generaciones de llaves de acceso, lo que indica una gran adopción por parte de los usuarios, sin que se viera afectada la experiencia de usuario en los flujos de trabajo empresariales críticos.

Pantalla de gestión de llaves de acceso

Conclusión

Integrar llaves de acceso con el gestor de credenciales de Android no es solo una cuestión de adoptar una nueva tecnología, sino de ofrecer a tus usuarios una experiencia más segura, cómoda y agradable. Si te centras en la introducción inteligente de llaves de acceso, no solo proteges las cuentas, sino que también generas confianza y preparas la estrategia de autenticación de tu aplicación para el futuro.

Para ofrecer a tus usuarios la mejor experiencia posible, optimizada y fluida, sigue las directrices de experiencia de usuario al implementar la autenticación con llaves de acceso mediante Gestor de credenciales. Consulta la documentación hoy mismo.

• Ejemplo con prácticas recomendadas de experiencia de usuario
• Iniciar sesión de un usuario con Gestor de credenciales
• Referencia de la API – androidx.credentials
• Autenticación de usuarios con llaves de acceso
• Centro de Seguridad de Google - Llave de acceso
• Blog de seguridad de Google: Seguridad de las llaves de acceso en el Gestor de contraseñas de Google