Passkeys em vez de senhas padrão? Veja por que este pode ser o futuro do acesso a serviços online

Desde que a Internet é do jeito que conhecemos, com uma porção de serviços on-line disponíveis para acesso do público em geral – ou seja, o usuário final comum -, o assunto “senhas” é polêmico. Isso porque as combinações padrão pensadas por usuários em geral são fracas, o que facilita o acesso de terceiros não autorizados e também complica a vida de especialistas em segurança. Mas isso pode mudar em breve, com o uso em massa das chamadas “passkeys“.

Passkeys são, em resumo, uma combinação aleatória fornecida por grandes empresas de Internet – como Google, Apple e Microsoft -, e o uso desse tipo de recurso está cada vez maior.

Sabe quando o Google pede para você abrir o aplicativo xyz no seu smartphone quando a autenticação de dois fatores foi ativada no seu Gmail e alguém está tentando realizar o login em um novo dispositivo? É assim que funciona na prática (não somente para Gmail).]

O dispositivo adicional, que autoriza o login, é de propriedade do usuário, configurado por ele mesmo. E os tipos de autorização podem envolver impressão digital, leitura facial, a escolha de um número aleatório gerado pelo próprio software, inserir uma combinação de um software de autenticação (como o Microsoft Authenticator) e por aí vai.

Por trás dessa interface apresentada ao usuário, acontece uma relação matemática, cálculos trocados entre a chave pública no sistema em que o usuário está fazendo login e a chave privada gerada no dispositivo pessoal do usuário. se “deu match”, o login é aprovado.

Para Kathleen Moriarty, CTO do Centro de Segurança para Internet (Center for Internet Security), o processo de uso de senhas para acessar serviços online deveria ser ‘invisível’ para o usuário final. E essas passkeys permitem justamente isso, além de fornecerem melhor nível de segurança.

“As senhas são um exemplo do que a segurança deve ser: perfeita e invisível para o usuário final”, disse ela à CNBC.

Vale dizer que as big techs por trás do serviço de passkeys trabalham com os padrões desenvolvidos pela FIDO Alliance e pela World Wide Web Consortium — duas organizações responsáveis pela criação de padrões de autenticação de senha para plataformas. Assim, a criação das chaves conta com esse nível de segurança.

Imagem: Franck/Unsplash

Passkeys versus senhas: por que deveríamos apostar nessa tecnologia?

As passkeys fornecem um tipo de autenticação individual, desenvolvida para cada usuário e para cada aplicativo. Toda conta matemática enviada pelo sistema ao servidor é nova a cada login, o que trás uma camada extra de segurança em termos de criptografia.

Dessa forma, o usuário e seu respectivo acesso ficam menos propensos a ataques contra a segurança, especialmente porque o cibercriminoso teria de estar bastante interessado no algo para ter o trabalho de descobrir tanto a chave pública do aplicativo quanto a chave privada no dispositivo para conseguir invadir a conta.

Por que elas seriam uma boa alternativa de uso? Se considerarmos que o principal elo (e o mais frágil) entre uma violação de senha a um ataque hacker é o usuário final, ter uma chave de acesso elimina (ou, ao menos, diminui consideravelmente) esse risco e, consequentemente, também pode diminuir os riscos de segurança e de privacidade relacionados. Afinal, ao usar uma chave de acesso, o indivíduo consegue acessar uma conta aprovando o login em um dispositivo externo, sem a necessidade de uso de uma combinação de senha padrão (que, muitas vezes, é fraca).

“Você já foi avisado no passado, não compartilhe senhas entre aplicativos diferentes”, disse Moriarty. “As senhas por design impedem qualquer reutilização, para que você não fique exposto no caso de a chave de acesso para um determinado aplicativo vazar, porque estão completamente separados.”

Proteja sua senha

Imagem: Gerd Altmann/Pixabay.com

O volume de ataques que impactam senhas e ocasionam vazamentos de segurança aumentou consideravelmente nos últimos anos. São cerca de 921 ataques a cada segundo, ou um crescimento de 74% em um ano, de acordo com o último Relatório de Defesa Digital da Microsoft.

Independentemente de usar uma senha padrão ou um login com autenticação por um serviço específico, sempre é bom lembrar: a melhor forma de se proteger e não compartilhar senhas e criar combinações fortes, que sejam distintas para cada serviço – o que, na prática, é um desafio visto que cada vez mais temos mais e mais serviços para acessar online, não é mesmo?

Claro que o uso de sistemas de autenticação não são imunes, porque o usuário pode perder o aparelho responsável por fazer a autenticação, por exemplo. Mas há de concordar que a chance de perder o aparelho é menor do que ser impactado por um ataque que vazou sua combinação de senha online.

“Os principais sistemas operacionais agora têm suporte total [a passkeys] onde anteriormente o suporte era apenas parcial”, afirmou Kathleen Moriarty. “Portanto, essa reviravolta e impulso em prol do suporte de chaves de acesso é bastante rápido agora.”