.
O Google quer nos levar mais longe em um futuro sem senha, permitindo que os titulares de contas pessoais façam login usando senhas em vez de frases secretas e autenticação multifator (MFA).
As chaves de acesso são a última esperança para permitir que organizações e pessoas comuns se afastem das senhas. E quando dizemos senhas, pense em coisas como aplicativos de telefone de leitura biométrica que podem ser usados para se autenticar e obter acesso a contas, embora essas chaves possam assumir várias formas.
Esperançosamente, para contas importantes, você usa uma senha e alguma forma de MFA para se autenticar: isso é algo que você conhece (a frase secreta em sua cabeça ou gerenciador de senhas) e algo que você possui (como um token de hardware ou gerador de código único). Um bandido, portanto, precisaria da coisa que você conhece e da coisa que você precisa para fazer o login como você. As senhas substituem senhas e MFA, por serem algo que você tem (seu telefone e aplicativo de senha biométrica) e algo que você é (sua impressão digital).
As chaves de acesso estão sendo adotadas por empresas como Apple e Microsoft, que, como o Google, há muito falam sobre a necessidade de acabar com totalmente com senhas, substituindo-as e MFA por senhas.
“O uso de senhas coloca muita responsabilidade sobre os usuários”, escreveram Arnar Birgisson e Diana Smetters, engenheiros do Google’s Identity Ecosystems, em um anúncio na quarta-feira. “Escolher senhas fortes e lembrá-las em várias contas pode ser difícil. Além disso, mesmo os usuários mais experientes são frequentemente levados a desistir delas durante tentativas de phishing.”
Existem inúmeros outros problemas com senhas. Os usuários podem ter dezenas ou centenas de contas e podem reutilizar senhas ou confiar em senhas simples – “senha” e “123456” tendem a ser populares – para facilitar a lembrança delas.
MFA não é a resposta completa
Ter MFA é melhor do que nada, embora ainda sobrecarregue os usuários que precisam lidar com uma etapa de verificação adicional e não proteja totalmente contra phishing, preenchimento de credenciais e golpes direcionados, como trocas de SIM para verificação de texto. Não há nada que impeça criminosos astutos de coletar códigos MFA junto com nomes de usuários e senhas de páginas de phishing.
Além disso, os gerenciadores de senhas resolvem o problema de memorizar senhas fortes, mas podem ser problemáticos: você está colocando todos os ovos na mesma cesta, por assim dizer, e coisas como o brechas de segurança no LastPass deixa alguns de nós nervosos com todo o arranjo.
“As senhas ajudam a resolver todos esses problemas”, argumentaram Birgisson e Smetters.
As senhas são baseadas em um padrão desenvolvido pelo Aliança FIDO e o Consórcio World Wide Web. As chaves são armazenadas em um dispositivo e se integram a ele com leitores biométricos de hardware – pense em impressões digitais ou scanners faciais acessados via Face ID da Apple ou Windows Hello da Microsoft.
Em vez de depender de nomes de usuário, senhas e ferramentas MFA, as senhas usam as informações biométricas e o próprio dispositivo para autenticar os usuários. Agora os usuários da Conta do Google terão essa opção e poderão dar o primeiro passo aqui.
“Quando você adiciona uma chave de acesso à sua conta do Google, começamos a solicitá-la quando você faz login ou executa ações confidenciais em sua conta”, escreveram os engenheiros de software. “A própria chave de acesso é armazenada em seu computador local ou dispositivo móvel, que solicitará sua biometria de bloqueio de tela ou PIN para confirmar que é realmente você. Os dados biométricos nunca são compartilhados com o Google ou qualquer outro terceiro – o bloqueio de tela apenas desbloqueia a chave de acesso localmente.”
Não há mais erros de senha
Como as senhas existem apenas no dispositivo e, ao contrário das senhas, não podem ser anotadas ou dadas acidentalmente a – ou roubadas por – malfeitores, em teoriaeles protegem contra phishing e outros ataques e não podem ser reutilizados em outro lugar ou expostos por meio de vazamentos de banco de dados.
Isso é importante, já que 82% das violações de segurança em 2021 foram causadas por credenciais roubadasataques de phishing e erro humano, valorizando a proteção por senha, disse a Verizon em seu relatório de investigações de violação de dados no ano passado.
A ideia de senhas está ganhando força. iOS 16 da Apple e macOS Ventura senhas de suporte e o Google no final do ano passado começou a oferecer suporte senhas para Chrome no Android, Windows e macOS. A Microsoft também está adotando senhas.
Há uma lista crescente de serviços online que também oferecem suporte à ferramenta de segurança sem senha, incluindo PayPaleBay, WordPress e Kayak.
Além disso, startups como a Hanko estão desenvolvendo tecnologias de senha. Em novembro de 2022, a empresa de gerenciamento de senhas 1Password comprado passkey startup Passage “para ajudar a acelerar a adoção de senhas para desenvolvedores, empresas e seus clientes”, disse o CEO Jeff Shiner na época.
Facilitando a mudança
“As senhas ainda são novas e levará algum tempo até que funcionem em todos os lugares”, escreveram Birgisson e Smetters.
“No entanto, criar uma chave de acesso hoje ainda traz benefícios de segurança, pois nos permite prestar mais atenção aos logins que dependem de senhas. Com o tempo, examinaremos cada vez mais isso, pois as chaves de acesso ganham suporte e familiaridade mais amplos.”
Dito isso, usar chaves de acesso não significa que os consumidores só podem usar seus telefones quando fizerem login. As chaves de acesso podem ser criadas para outros dispositivos, como PCs, laptops ou tablets, e algumas plataformas farão backup das chaves de acesso e as sincronizarão com outros dispositivos. Uma chave de acesso para um iPhone pode ser usada em outros dispositivos Apple conectados à mesma conta do iCloud.
Podemos imaginar que alguns de vocês se sintam desconfortáveis com a consolidação de senhas e MFA em senhas. Para titulares de contas do Google, os métodos de verificação existentes – incluindo senhas e MFA – ainda funcionarão, caso estejam usando dispositivos que ainda não oferecem suporte a chaves de acesso.
No entanto, “se você fizer login em um dispositivo compartilhado com outras pessoas, não deverá criar uma chave de acesso lá. Quando você cria uma chave de acesso em um dispositivo, qualquer pessoa com acesso a esse dispositivo e a capacidade de desbloqueá-lo pode fazer login em sua conta do Google Conta”, escreveram os Googlers.
Por fim, as chaves de acesso também podem ser usadas para os inscritos no Google Programa de Proteção Avançada. ®
.
