.
Aurich Lawson | Getty Images
Meu recente recurso sobre chaves de acesso atraiu um interesse significativo, e vários dos mais de 1.100 comentários levantaram questões sobre como o sistema de senhas realmente funciona e se é confiável. Em resposta, reuni esta lista de perguntas frequentes para dissipar alguns mitos e lançar alguma luz sobre o que sabemos – e não sabemos – sobre senhas.
P: Não confio no Google. Por que devo usar senhas?
R: Se você não usa o Google, as chaves de acesso do Google não são para você. Se você não usa produtos da Apple ou da Microsoft, a situação é semelhante. O artigo original foi direcionado a centenas de milhões de pessoas que usam essas plataformas importantes (mesmo que de má vontade).
Dito isso, o uso de senhas está se expandindo rapidamente além dos principais players de tecnologia. Dentro de um ou dois meses, por exemplo, o 1Password e outros terceiros oferecerão suporte à sincronização de senha que preencherá a credencial para todos os seus dispositivos confiáveis. Embora o Google esteja mais adiantado do que qualquer outro serviço em permitir logins com senhas, novos serviços permitem que os usuários façam login em suas contas com senhas quase todas as semanas. Em pouco tempo, você pode usar senhas mesmo que não confie no Google, Apple ou Microsoft.
P: Não confio em nenhuma empresa para sincronizar minhas credenciais de login; Eu apenas os mantenho armazenados em meus dispositivos locais. Por que eu usaria senhas?
R: Mesmo que você não confie qualquer serviço de nuvem para sincronizar suas credenciais de login, as especificações FIDO permitem algo chamado senhas de dispositivo único. Como o nome sugere, essas senhas funcionam em um único dispositivo e não são sincronizadas por meio de nenhum serviço. As senhas de dispositivo único geralmente são criadas usando uma chave de segurança FIDO2, como uma Yubikey.
No entanto, se você estiver sincronizando senhas por meio de um navegador, gerenciador de senhas, iCloud Keychain ou um dos equivalentes da Microsoft ou do Google, saiba que já está confiando em um serviço de nuvem para sincronizar suas credenciais. Se você não confia nos serviços de nuvem para sincronizar senhas, também não deve confiar neles para sincronizar suas senhas.
P: Parece incrivelmente arriscado sincronizar senhas. Por que devo confiar na sincronização de qualquer serviço?
R: Atualmente, as especificações FIDO não exigem estritamente a sincronização com criptografia de ponta a ponta, o que, por definição, significa que nada além de um dos dispositivos confiáveis do usuário final tem acesso à chave privada não criptografada (ou seja, utilizável) forma. O mecanismo de sincronização da Apple, por exemplo, conta com a mesma criptografia de ponta a ponta que o iCloud Keychain já usa para sincronização de senha. A Apple documentou o design deste serviço detalhadamente aqui, aqui, aqui, aqui e aqui. Especialistas independentes em segurança ainda não relataram quaisquer discrepâncias na alegação da Apple de que não possui meios para desbloquear as credenciais armazenadas no iCloud Keychain.
P: Eu não uso/confio na Apple. E os outros serviços? Onde está a documentação deles?
R: O Google tem documentação aqui. O 1Password possui documentação sobre a infraestrutura que usa para sincronizar senhas (aqui e aqui). Novamente, se você já confia qualquer plataforma de sincronização de senha baseada em nuvem, é um pouco tarde para solicitar a documentação agora. Há pouco, se houver, risco adicional para sincronizar senhas também.
P: Não havia um artigo recente sobre o novo malware do macOS que poderia roubar itens do iCloud Keychain?
R: Isso pode ser uma referência ao MacStealer, malware que foi anunciado recentemente em fóruns de crimes clandestinos. Não há relatos de MacStealer sendo usado em estado selvagem e não há confirmação de que o malware exista. Só conhecemos anúncios reivindicando que tal malware existe.
Dito isso, o anúncio do MacStealer diz que está no início da versão beta e vem na forma de um arquivo DMG padrão que deve ser instalado manualmente em um Mac. O arquivo DMG não é assinado digitalmente, portanto, não será instalado, a menos que um usuário final mexa nas configurações de segurança do macOS. Mesmo assim, a vítima teria que inserir sua senha do iCloud no aplicativo após a instalação antes que os dados baseados em nuvem pudessem ser extraídos.
Com base na descrição do MacStealer da Uptycs, a empresa de segurança que detectou o anúncio, não acho que as pessoas tenham muito com o que se preocupar. E mesmo que o malware represente uma ameaça, essa ameaça se estende não apenas às chaves de acesso, mas a qualquer outra coisa que centenas de milhões de pessoas já armazenem no iCloud Keychain.
P: As senhas fornecem controle de suas credenciais para Apple/Google/Microsoft, para um serviço de sincronização de terceiros ou para o site no qual você está fazendo login. Por que eu faria isso?
R: Supondo que você esteja usando uma senha para entrar em um serviço como Gmail, Azure ou Github, você já está confiando nessas empresas para implementar seus sistemas de autenticação de uma forma que não exponha os segredos compartilhados que permitem para fazer login. Fazer login em um desses sites com uma chave de acesso em vez de uma senha dá aos sites o mesmo controle – nem mais nem menos – sobre suas credenciais do que tinham antes.
O motivo é que a parte da chave privada de uma senha nunca sai dos dispositivos criptografados do usuário. A autenticação ocorre no dispositivo do usuário. O dispositivo do usuário então envia ao site que está conectado uma prova criptográfica de que a chave privada reside no dispositivo que está fazendo login. A criptografia envolvida nesse processo garante que a prova não seja falsificada.
.
