O que é uma "passkey"?
- Glossário do IAM
- O que é uma "passkey"?
Uma "passkey" é uma tecnologia moderna de autenticação sem senha que permite que os usuários façam login em contas e aplicativos usando uma chave criptográfica, em vez de uma senha. Uma "passkey" usa biometria (impressão digital, reconhecimento facial etc.) para confirmar a identidade do usuário.
Qual é a diferença entre "passkey" e senha?
Apesar de terem nomes similares, "passkeys" são muito diferentes de senhas.
O que é uma senha?
Uma senha é uma sequência de caracteres que os usuários devem fornecer ao fazer login em um site ou aplicativo, normalmente em conjunto com um nome de usuário. Para evitar violações de dados e sequestro de contas, o NIST recomenda que as senhas tenham:
- No mínimo oito caracteres
- A capacidade de usar todos os caracteres especiais, mas não há requisitos especiais para usá-los
- Restrição a caracteres sequenciais e repetitivos (por exemplo, 12345 ou aaaaaa)
- Restrição a senhas específicas e contexto (por exemplo, o nome do site)
- Restrição a senhas comumente usadas (por exemplo, qwerty, senha123) e palavras de dicionário
O que é uma "passkey"?
Uma "passkey" é uma nova tecnologia de autenticação que usa criptografia de chave pública para permitir que os usuários façam login em sites e aplicativos sem precisar digitar uma senha. Em vez disso, os usuários se autenticam da mesma forma como desbloqueiam telefones e tablets: com a impressão digital, o rosto ou outra biometria, usando um padrão de deslizar; ou digitando um PIN. Para fins de conveniência, a maioria das pessoas optará pela autenticação biométrica.
Em vez de criar uma senha pra fazer login em uma conta, os usuários geram uma "passkey" - que é, na verdade, um par de chave privada e chave pública - usando um "autenticador". Esse "autenticador" pode ser um dispositivo, como um smartphone ou um tablet, um navegador ou um gerenciador de senha que tenha suporte para a tecnologia de "passkey".
Antes de gerar uma "passkey", o autenticador exigirá que o usuário se identifique usando um PIN, padrão de deslizar ou biometria. O autenticador então envia a chave pública (que é algo semelhante a um nome de usuário) para o servidor web da conta para ser armazenado; o autenticador armazena de forma segura a chave pública localmente. Se o autenticador for um smartphone ou outro dispositivo, a chave pública será armazenada no chaveiro do dispositivo. Se o autenticador for um gerenciador de senhas, a chave privada será armazenada no cofre criptografado do gerenciador.
Como funciona uma "passkey"?
Para criar uma nova "passkey", o usuário faz login em sua conta normalmente e, em seguida, ativa a opção de "passkey" na tela de configurações do site ou do aplicativo. O site ou aplicativo solicita ao usuário que salve uma "passkey" associada ao dispositivo. O navegador ou sistema operacional solicitará, então, a autenticação biométrica para aprovar a solicitação, e a "passkey" será armazenada localmente.
Logins subsequentes ao site solicitarão ao usuário que use a "passkey" de seu dispositivo para fazer login, em vez de uma senha. Se o navegador tiver suporte para a sincronização de "passkeys" entre dispositivos, ela estará disponível nesses dispositivos.
Se o usuário estiver usando um dispositivo que não tenha uma "passkey" para o site ou o aplicativo, poderá ter a oportunidade de usar outro dispositivo. Se o navegador tiver suporte para autenticação entre dispositivos, o navegador poderá solicitar ao usuário um código QR que pode ser digitalizado por um dispositivo móvel para concluir o login. A autenticação entre dispositivos também envolve o uso de Bluetooth para garantir a proximidade.
É isso que o usuário final vê. Vejamos o que acontece por trás dos bastidores, no nível do servidor. Quando um usuário final tenta fazer login na conta com uma "passkey", o servidor da conta envia um "desafio" para o autenticador, consistindo em uma sequência de dados. O autenticador usa a chave privada para solucionar o desafio e envia a resposta de volta, um processo conhecido como "assinar" os dados e verificar a identidade do usuário.
Observe que, em nenhum momento durante esse processo, o servidor da conta precisa acessar a chave privada do usuário, o que também significa que nenhuma informação confidencial é transmitida. Isso é possível porque a chave pública - que o servidor armazena - é matematicamente relacionada à chave privada. O servidor precisa apenas da chave pública e os dados assinados para verificar que a chave privada pertence ao usuário.
As "passkeys" são mais seguras?
As "passkeys" são mais seguras que senhas por diversos motivos:
- Para que as senhas funcionem, os servidores de conta devem armazená-las - ou pelo menos suas hashes - para que possam comparar os dados armazenados com a senha que o usuário digita. Como mencionado na seção anterior, a tecnologia de "passkey" não exige que os servidores de conta armazenem as chaves privadas dos usuários, apenas as chaves públicas. Se o servidor de de conta for violado, os atores da ameaça acessarão apenas chaves públicas, que são inúteis sem as chaves privadas que as acompanham.
- A maioria das pessoas tem uma higiene de senhas ruim. Elas usam senhas curtas demais, contendo palavras de dicionário ou com informações biográficas que são fáceis de adivinhar. Elas reutilizam senhas em vários sites. E, em vez de usar um gerenciador de senhas, elas armazenam as senhas em adesivos ou arquivos de texto não criptografados. As "passkeys", por outro lado, são geradas pelo autenticador do usuário, portanto, elas são sempre altamente complexas e exclusivas a cada usuário e a cada senha, todas as vezes.
- Muitas pessoas também não protegem as contas com autenticação de dois fatores (2FA). As "passkeys", por projeto, dependem da 2FA; para usar uma "passkey", um usuário final precisa ter o autenticador por perto, satisfazendo os critérios e algo que você é (a biometria) e algo que tem (o autenticador).
- Diferentemente de senhas, as "passkeys" não podem ser comprometidas em golpes de phishing, pois é impossível enganar um usuário para que digite uma "passkey" em um site falso similar.
As "passkeys" substituirão as senhas e os gerenciadores de senha?
Apesar de "passkeys" poderem, em certo momento, substituir as senhas, elas não substituirão os gerenciadores de senhas. Em vez disso, os gerenciadores de senhas se tornarão ainda mais importantes. Isso ocorre porque as "passkeys" são vinculadas a um autenticador. Os usuários tem a opção de usar um dispositivo - normalmente um smartphone, mas um tablet, um notebook ou um desktop podem funcionar - ou um gerenciador de senhas que tenha suporte para "passkeys".
Inicialmente, usar um smartphone como autenticador pode parecer a opção lógica, pois a maioria das pessoas tem o telefone consigo o tempo inteiro. No entanto, como a maioria das pessoas usa vários dispositivos, isso rapidamente se torna inconveniente. Se um usuário quiser acessar uma conta ou um aplicativo em um dispositivo diferente, como um notebook ou tablet, teria que gerar um código QR naquele dispositivo, digitalizá-lo com o autenticador e usar a biometria para, finalmente, fazer o login.
Um gerenciador de senhas como o Keeper, que será distribuído com suporte para "passkeys" no início de 2023, simplificará muito esse processo, vinculando a "passkey" a um aplicativo, em vez e a um dispositivo físico.
Que empresas têm suporte a "passkeys"?
No momento da redação deste artigo, o número que sites e aplicativos que têm suporte a essa tecnologia ainda é pequeno. Apple, Microsoft, Best Buy, GoDaddy, PayPal, Kayak e eBay estão entre os principais nomes que têm suporte a "passkeys" no momento.
No entanto, devido à conveniência e à segurança, as "passkeys" estão crescendo rapidamente em popularidade. O Google adicionou o suporte a "passkey" no Chrome estável M108 para Windows, Android e macOS em dezembro de 2022, com suporte para iOS e Chrome OS em andamento, bem como um novo conjunto de APIs que levarão o suporte a "passkeys" para aplicativos Android.