Passkeys: O Futuro da Segurança Digital sem Senhas
As passkeys oferecem uma maneira mais segura de autenticar contas online em comparação às senhas tradicionais. O uso das passkeys requer um autenticador e outras tecnologias. Entre essas, o autenticador "roaming" pode ser considerado um dos mais complexos e seguros.
Quando se trata de senhas, muitas vezes somos nossos piores inimigos. Essa afirmação pode parecer exagerada, mas a verdade é que facilitamos a vida dos hackers, permitindo a infiltração e distribuição de nossos dados sensíveis, além da destruição de nossas finanças. Estudos revelam que, mesmo após receberem treinamento robusto em cibersegurança, 98% das pessoas acabam caindo em golpes de phishing e outras práticas fraudulentas, revelando suas senhas sem querer.
Percebendo a ineficácia dos métodos tradicionais de educação em segurança, a indústria tecnológica decidiu adotar uma abordagem radical: substituir completamente as senhas. Em vez de usar credenciais que exigem que compartilhemos informações sensíveis com aplicativos ou websites, a ideia é implementar um padrão universal de autenticação sem senha. Este novo sistema envolve um segredo que nunca deve ser compartilhado, nem mesmo com fontes legítimas. Melhor ainda seria se, nem nós mesmos, soubéssemos qual é esse segredo.
Essencialmente, é isso que uma passkey representa. As três principais características das passkeys são: 1) não podem ser adivinhadas, diferentemente das senhas; 2) não podem ser reutilizadas em diferentes sites e aplicativos; 3) não devemos ser enganados ao revelá-las a agentes maliciosos.
Embora a situação pareça simples, não é bem assim. Mesmo que 99% dos fluxos de trabalho que envolvem ID de usuário e senha sejam intuitivos e não exijam tecnologia adicional, a mesma coisa não pode ser dita sobre as passkeys. Ao optar por este método, os usuários precisam aceitar um certo nível de complexidade, que pode exigir um período de adaptação.
Quando você cria uma nova passkey ou a utiliza para se conectar a uma fonte confiável, interage com diversas tecnologias: hardware do dispositivo, sistema operacional, navegador, e o autenticador em si. Essa interconexão visa proporcionar uma experiência de usuário sem atritos, embora algumas dessas tecnologias possam se sobrepor, dificultando a distinção entre elas.
O termo "passkey" é, na verdade, um apelido para a especificação de credenciais FIDO2 da FIDO Alliance, que combina dois padrões abertos: o WebAuthn do W3 para autenticação sem senha e o protocolo Client-to-Authenticator (CTAP) da FIDO Alliance. O “Autenticador” mencionado nessa especificação refere-se a três tipos: plataforma, virtual e roaming. O foco aqui será no autenticador "roaming".
Um autenticador "roaming" é um dispositivo físico, como um pen drive (frequentemente chamado de chave de segurança), que pode ser levado no bolso. Exemplos conhecidos incluem os YubiKeys da Yubico e o Titan do Google. No entanto, os autenticadores "roaming" também podem incluir outros dispositivos, como smartphones e cartões inteligentes.
Atualmente, ao usar um autenticador "roaming" para registrar uma passkey para um serviço específico, a passkey é criada e armazenada de forma criptografada no dispositivo, impossibilitando a dissociação do mesmo. Dessa forma, as passkeys geradas por autentificadores "roaming" são consideradas "vinculadas ao dispositivo". Diferentemente de gerenciadores de senhas como o iCloud Keychain ou o gerenciador de senhas do Google Chrome, as passkeys em autenticadores "roaming" não podem ser sincronizadas na nuvem.
Esse tipo de limitação também se reflete em sistemas como o Windows Hello, onde os usuários podem criar passkeys vinculadas ao sistema. Neste caso, a passkey é criptograficamente atrelada ao hardware de segurança do sistema, conhecido como Módulo de Plataforma Confiável (TPM). Todo computador moderno possui um TPM único e criptográfico que serve como raiz de confiança para vincular passkeys e outros segredos a ele.
Um autenticador "roaming" pode ser visto como uma raiz de confiança portátil; é essencialmente um TPM que pode ser transportado. Enquanto uma passkey vinculada a um TPM fixo não pode ser separada do dispositivo, uma passkey armazenada em um autenticador "roaming" está ligada a uma raiz de confiança baseada em hardware, mas pode ser utilizada em diversos dispositivos.
O benefício principal dessa abordagem é que você pode usar a flexibilidade de um passkey sincronizável de software sem que a passkey seja salva em qualquer dispositivo. Isso evita que passe por nuvens online. Para autenticar, basta conectar o autenticador "roaming" ao dispositivo necessário.
No entanto, os autenticadores "roaming" diferem significativamente de seus equivalentes de plataforma e virtuais, pois não têm capacidades de gerenciamento de senhas. Você não pode salvar um ID de usuário ou uma senha em um autenticador "roaming", como faria com uma passkey. Isso pode causar confusão, já que gerenciadores de senhas ainda são úteis para criar senhas únicas e complexas.
Felizmente, há um caso onde faz sentido ter um autenticador "roaming" além de um autenticador virtual. Quando é necessário fazer login no gerenciador de senhas, um autenticador "roaming" é ideal. Isso porque, ao protegê-lo com um dispositivo físico, você impede que hackers consigam obter suas credenciais por engenharia social.
Entretanto, surge uma nova complicação. Para serviços onde suas únicas passkeys estão em um autenticador "roaming", é essencial que você tenha um segundo dispositivo para backup. Ter um terceiro autenticador não é demais também. Ao contrário de senhas, você pode criar múltiplas passkeys únicas para cada serviço que suporte essa tecnologia.
Pensando bem, a ideia principal das passkeys é eliminar as senhas. Depois que um serviço elimina a opção de autenticação tradicional, é vital que você não perca sua passkey, já que os autenticadores "roaming" podem ser facilmente extraviados. Alguns serviços, como o GitHub, não oferecem recuperação de contas protegidas por passkeys, o que é compreensível, considerando que os usuários optaram por esse método de segurança por um motivo.
Referência: ZDNET
Posts relacionados:
OpenAI amplia a disponibilidade do GPT-4.5: Como acessar e quais são suas vantagens
Deseja ter sucesso na era da inteligência artificial? Você pode desenvolvê-la ou usar suas vantagens em seu negócio.
Executivo da Amazon comenta que a IA pode eliminar algumas funções, mas tornará outras mais ‘interessantes’
Este laptop Windows de R$ 499 superou meu ThinkPad por um motivo-chave
