Com o vazamento de credenciais colocando em risco dados pessoais, segredos corporativos e as finanças, novas tecnologias de autenticação têm ganhado espaço para proteger emails, perfis em redes sociais e contas em outros serviços online. A passkey é um dos métodos em evidência.
Alternativa às senhas tradicionais, dispensa a elaboração de códigos difíceis de quebrar e que causam problemas para lembrar. Apesar das facilidades e da adoção por empresas como Microsoft, Google e Apple, a solução ainda não é amplamente divulgada entre o público em geral.
O que é passkey?
Também chamadas de chaves de acesso, as passkeys são credenciais digitais para acessar contas online sem digitar nome de login e senha, tornando o processo mais seguro. Para tanto, a tecnologia utiliza o celular ou outro dispositivo para comprovar a identidade do usuário.
Desenvolvido pela Fast Identify Online (FIDO) Alliance, consórcio focado na criação de modelos de autenticação sem senha, o padrão inclui uma chave de acesso pública e outra privada que, combinadas, desbloqueiam o acesso. A primeira é armazenada no site ou app que hospeda o serviço e a segunda no dispositivo.
Ao tentar logar em um email com passkey ativada, você precisará acionar o “autenticador”, que pode ser o smartphone ou o PC. Em vez de digitar letras, números e caracteres especiais, o usuário confirmará a identidade pelo reconhecimento facial, impressão digital, PIN ou padrão de desbloqueio do equipamento.
O método dependerá do tipo de autenticação habilitado no dispositivo escolhido como autenticador, que também pode ser um gerenciador de senhas com suporte às chaves de acesso.
Qual a diferença entre passkey e senha tradicional?
Embora desempenhem o mesmo papel de proteção de contas, as duas opções se diferem em sua natureza e funcionalidade. O método convencional consiste em sequências de caracteres digitadas sempre que for necessária a autenticação em um site, app ou serviço online.
Na nova solução, é possível fazer login por meio da impressão digital e do reconhecimento facial utilizados no desbloqueio do celular, como explicado anteriormente, trazendo maior praticidade. A abordagem é, ainda, uma forma mais efetiva de se prevenir contra incidentes de cibersegurança.
Outra diferença entre elas está na compatibilidade. Amplamente difundidas, as senhas são suportadas em praticamente qualquer serviço na internet, o que contribui para a sua popularidade, enquanto as chaves criptográficas estão restritas a uma menor quantidade de plataformas online.
Além do Gmail, outros serviços introduziram passkeys como opção de autenticação sem senha. Para logar na conta Microsoft, Discord, iCloud, PayPal, GitHub e LinkedIn, o usuário tem a possibilidade de escolher essa funcionalidade.
Na Amazon, Uber e para proteger os backups do WhatsApp, os usuários também conseguem realizar login por meio da autenticação biométrica e PIN do celular, substituindo os métodos tradicionais, caso queiram.
Como a passkey elimina riscos?
De modo geral, a Passkey é mais segura que senha, inclusive considerando códigos aleatórios e longos, apesar de nenhuma solução ser 100% imune a falhas. Em um ataque de phishing, no qual a vítima digita suas credenciais em um site falso, a tecnologia dificulta a ação dos cibercriminosos.
Mesmo que você tente utilizar a chave de acesso em um site fraudulento, por engano, ela está vinculada à página verdadeira para a qual foi criada, ou seja, não funcionará. Além disso, a chave privada não sai do dispositivo autenticador, impedindo seu roubo por meio de estratégias de engenharia social.
Passkey protege contra phishing e vários outros riscos, como os vazamentos em massa. Caso o servidor onde a chave pública está armazenada for violado, a chave privada continuará inacessível aos invasores, protegendo a conta, pois seguirá no dispositivo de autenticação sob a guarda do usuário.
Chaves criptográficas complexas e geradas automaticamente, as passkeys têm maior resistência aos ataques de força bruta, sendo mais difíceis de violar. Os riscos são diminuídos, ainda, com o fim da reutilização de códigos, um dos erros mais cometidos, e a eliminação de combinações fracas.
Já em caso de perda, furto ou roubo do celular, o criminoso não conseguirá acessar contas protegidas, pois a autenticação depende da impressão digital ou reconhecimento facial do proprietário. E ao comprar um novo dispositivo, basta cadastrar outra passkey.
Outro detalhe é que a tecnologia passa por aprimoramentos constantes, graças à FIDO Alliance, com a atuação de profissionais de cibersegurança de larga experiência
Como funciona o login com passkey na prática
A autenticação com chaves de acesso é um processo prático, simples e rápido. De modo geral, são necessários os seguintes passos para logar em uma conta que já possui a tecnologia habilitada:
- Abra o site ou aplicativo que deseja fazer login e procure pela opção “Entrar com chave de acesso” ou algo do tipo;
- Selecione ou informe o nome de usuário e aguarde o servidor enviar um “desafio” para o autenticador que guarda a chave privada;
- Em seguida, confirme a sua identidade usando o método previamente escolhido, a leitura de digital, o reconhecimento facial, um PIN ou o padrão de bloqueio da tela do dispositivo autenticador;
- O login ocorrerá instantaneamente se a verificação for bem-sucedida, sem que o usuário precise digitar qualquer senha.
É possível combinar a passkey com outros métodos de login, como a autenticação multifator. Também dá para definir as chaves de acesso como opção principal e usar a senha de maneira secundária, e configurar passkeys em vários dispositivos, garantindo a continuidade do acesso se um deles se perder.
Caso não tenha a ferramenta habilitada em sua conta, faça login com a senha e vá ao menu de configurações para gerar e ativar as chaves de acesso. No Gmail, isso pode ser feito na opção “Segurança e login”, clicando depois em “Chaves de acesso e de segurança” e seguindo as instruções na tela.
O que acontece quando você entra em um site com passkey?
Ao configurar passkeys pela primeira vez, um par de chaves criptográficas será gerado e a combinação entre elas será verificada no login. O dispositivo com a chave privada libera o acesso a ela somente depois que a identidade é confirmada localmente, via biometria, PIN ou padrão de desbloqueio.
Depois disso, o serviço online receberá a resposta do “desafio” com a chave privada, acionando a chave pública para checar se a assinatura é realmente válida, concedendo o acesso. Esses processos acontecem rapidamente, liberando a entrada na conta instantaneamente.
Vantagens e desvantagens do uso de passkeys
A maior segurança em relação às senhas é a principal vantagem, reforçando a proteção contra acessos indevidos, vazamentos de credenciais e outras atividades maliciosas. A tecnologia também possui resistência a phishing e evita preocupações com a memorização de códigos complexos.
Um exemplo prático dos benefícios da passkey é a impossibilidade de alguém acessar suas contas protegidas pela ferramenta mesmo que conheça as senhas. Além disso, há a sincronização das chaves de acesso em múltiplos dispositivos e sistemas operacionais.
Mas ao mesmo tempo, a tecnologia tem limitações, como a disponibilidade restrita a poucos sites e apps e às versões recentes dos sistemas operacionais. Outra desvantagem é a dependência do autenticador para acessar a conta, com a perda do dispositivo ou a falta de energia impedindo a autenticação momentaneamente.
O recurso também enfrenta resistência de usuários sem familiaridade com a tecnologia, dificultando entender o funcionamento do login com chaves de acesso, levando as pessoas a continuaram com a técnica antiga. Para substituir as senhas tradicionais, as passkeys terão que superar esses desafios.
Você utiliza login sem senha em sites e apps ou prefere o método de autenticação convencional? Conta pra gente, comentando nas redes sociais do TecMundo.