Google continúa implementando mejoras de seguridad en Android, pero no todas tienen que ver con la protección de los usuarios; a veces, también es importante que adoptar estas nuevas medidas de seguridad sea sencillo y no una carga para los usuarios.
La nueva tecnología de Android, Credential Manager, es un buen ejemplo de esto, y ha sido creada por Google para solucionar uno de los grandes obstáculos que tenemos a la hora de crear una cuenta en una app o página web.
La mayoría de las veces, cuando creamos una cuenta en un servicio, tenemos que verificar que la dirección de correo electrónico que hemos introducido es nuestra, para evitar que un atacante pueda usar nuestra dirección para crear cientos de cuentas en diferentes servicios.
Para verificar un correo, normalmente el servicio nos envía un correo con un enlace que tenemos que pulsar en un tiempo límite, que nos lleva a una página que confirma que somos nosotros, algo conocido como “enlace mágico”.
Otra técnica común es la contraseña de un solo uso, que se envía a nuestro correo y que podemos usar para iniciar sesión la primera vez, después de lo cual tenemos que cambiarla.
Aunque estos métodos son seguros, también son una gran molestia para los usuarios, que tienen que dejar la app, cambiar a su bandeja de entrada, pulsar en el enlace e iniciar sesión en la app.
La solución de Google consiste en verificar el correo electrónico directamente en la app; para ello, los desarrolladores podrán usar una nueva API, Credential Manager API, que es la implementación de Android del estándar de credenciales digitales.
Nuevo método para crear una cuenta en apps de Android
El Androide Libre
Funciona de manera muy sencilla. Cuando pulsemos en la opción para crear una cuenta en una app, aparecerá una ventana emergente de Android que nos preguntará si queremos compartir nuestra dirección de correo electrónico, además de otros posibles datos que la app necesite como nuestro nombre de usuario (aunque estos no estarán verificados).
Si pulsamos en aceptar, estos datos se introducen automáticamente en la app y se crea la cuenta de usuario, con el correo ya verificado sin que tengamos que dar ningún paso adicional.
En segundo plano, Android ha certificado que esa dirección de correo es nuestra y por lo tanto, la app no necesita hacer esa verificación. Una vez que hemos creado la cuenta, la app nos puede preguntar la contraseña o usar otros métodos de verificación como la llave de acceso o ‘passkey’.
En otras palabras, esta tecnología elimina completamente la necesidad de verificar el correo de manera manual, pero sin sacrificar seguridad, ya que solo funciona en nuestro propio smartphone como la llave de acceso y por lo tanto, un atacante no puede simplemente introducir nuestra dirección.
Además de para crear una cuenta, esta tecnología también funciona en caso de que tengamos que recuperar una cuenta (porque nos hayamos olvidado de la contraseña, por ejemplo), o si necesitamos autenticarnos de nuevo (por ejemplo, para acceder a información personal en nuestra cuenta).
