Com o lançamento do iOS 16 na segunda-feira, a Apple apresentará suporte para senhas, uma nova tecnologia de logon que promete ser mais segura do que senhas para proteger o acesso às nossas contas bancárias e e-mail. A Apple demonstrou chaves de acesso em sua Worldwide Developers Conference e disse que chegará ao iOS 16 e MacOS Ventura neste outono, e também ao Android do Google e aos navegadores da Web.
As senhas são tão fáceis – talvez mais fáceis – de usar do que as senhas. Eles substituem o tumulto de teclas necessárias para senhas por uma verificação biométrica em nossos telefones ou computadores. Eles também interrompem os ataques de phishing e eliminam as complicações da autenticação de dois fatores, como códigos SMS, que fortalecem as fraquezas do sistema de senhas.
Depois de configurar uma chave de acesso para um site ou aplicativo, ela é armazenada no telefone ou computador pessoal que você usou para configurá-lo. Serviços como o iCloud Keychain da Apple ou o gerenciador de senhas do Google Chrome podem sincronizar senhas em seus dispositivos. Dezenas de empresas de tecnologia desenvolveram os padrões abertos por trás das chaves de acesso em um grupo chamado FIDO Alliance, que anunciou chaves de acesso em maio.
“Agora é a hora de adotá-los”, disse Garrett Davidson, engenheiro de tecnologia de autenticação da Apple, em uma palestra na WWDC sobre senhas. “Com as chaves de acesso, não apenas a experiência do usuário é melhor do que com as senhas, mas categorias inteiras de segurança – como credenciais fracas e reutilizadas, vazamentos de credenciais e phishing – simplesmente não são mais possíveis.”
Você terá que gastar um pouco de tempo na curva de aprendizado antes que as chaves de acesso atinjam seu potencial. Você também terá que decidir se Apple, Microsoft ou Google é a melhor opção para você.
Aqui está uma olhada na tecnologia.
O que é uma chave de acesso?
É um novo tipo de credencial de login que consiste em um pouco de dados digitais que seu PC ou telefone usa ao fazer login em um servidor. Você aprova cada uso desses dados com uma etapa de autenticação, como verificação de impressão digital, reconhecimento facial, um código PIN ou o padrão de furto de login familiar aos proprietários de telefones Android.
Aqui está o problema: você terá que ter seu telefone ou computador com você para usar as chaves de acesso. Você não pode fazer login em uma conta protegida por senha do computador de um amigo sem um dispositivo próprio.
As chaves de acesso são sincronizadas e armazenadas em backup. Se você adquirir um novo telefone ou iPhone Android, o Google e a Apple poderão restaurar suas chaves de acesso. Com criptografia de ponta a ponta, o Google e a Apple não podem ver ou alterar as chaves de acesso. A Apple projetou seu sistema para manter as senhas seguras, mesmo que um invasor ou funcionário da Apple comprometa sua conta do iCloud.
Como funciona a configuração de uma chave de acesso?
É bem simples. Use sua impressão digital, rosto ou outro mecanismo para autenticar uma chave de acesso quando um site ou aplicativo solicitar que você configure uma. É isso.
Como uso uma chave de acesso para fazer login?
Ao usar um telefone, uma opção de autenticação por chave de acesso aparecerá quando você tentar fazer logon em um aplicativo. Toque nessa opção, use a técnica de autenticação que você escolheu e pronto.
Para sites, você deve ver uma opção de chave de acesso no campo de nome de usuário. Depois disso, o processo é o mesmo.
Depois de ter uma chave de acesso em seu telefone, você pode usá-la para facilitar o login em outro dispositivo próximo, como seu laptop. Assim que você estiver logado, esse site pode oferecer a criação de uma nova chave de acesso vinculada ao novo dispositivo.
E se eu precisar fazer logon em um site enquanto estiver usando o computador de outra pessoa?
Você pode usar uma senha armazenada em seu telefone para fazer login em outro dispositivo próximo, como um laptop emprestado. A tela de login no laptop emprestado terá a opção de apresentar um código QR que você pode digitalizar com seu telefone. Você usará o Bluetooth para garantir que seu telefone e o computador estejam por perto e, em seguida, permitirá que você use uma verificação de impressão digital ou identificação facial em seu próprio telefone. Seu telefone então se comunicará com o computador por meio de uma conexão segura para concluir o processo de autenticação.
Por que as chaves de acesso são mais seguras do que as senhas?
As chaves de acesso empregam uma base de segurança testada pelo tempo chamada criptografia de chave pública para operação de login. Essa é a mesma tecnologia que protege o número do seu cartão de crédito quando você o digita em um site. A beleza do sistema é que um site só precisa basear seu registro de senha em sua chave pública, dados projetados para serem visíveis abertamente. A chave privada usada para configurar uma chave de acesso é armazenada apenas em seu próprio dispositivo. Não há banco de dados de dados de senha que um hacker possa roubar.
Outro grande benefício é que as chaves de acesso bloqueiam as tentativas de phishing. “As chaves de acesso estão intrinsecamente vinculadas ao site ou aplicativo para o qual foram configuradas, de modo que os usuários nunca podem ser induzidos a usar sua chave de acesso no site errado”, disse Ricky Mondello, que supervisiona a tecnologia de autenticação da Apple, em um vídeo da WWDC.
O uso de senhas exige que você tenha seu dispositivo à mão e possa desbloqueá-lo, uma combinação que oferece a proteção da autenticação de dois fatores, mas com menos incômodo do que os códigos SMS. E com as senhas, ninguém pode bisbilhotar por cima do seu ombro para ver você digitar sua senha.
Quando verei as chaves de acesso?
As chaves de acesso começam a surgir este ano.
Em sua Worldwide Developers Conference, a Apple disse que trará chaves de acesso para iOS 16 e MacOS Ventura, suas principais atualizações de software de sistema operacional esperadas para este outono. Em maio, o Google trará suporte de senha para o software Android até o final de 2022 para testes de desenvolvedores, disse o líder de autenticação do Google, Mark Risher. O suporte à chave de acesso deve chegar ao Chrome e ao Chrome OS ao mesmo tempo. A Microsoft planeja suporte no Windows nos próximos meses.
Alguns sites e aplicativos estarão ansiosos para atualizar seu software de login para usar chaves de acesso, para que possam aproveitar os benefícios de segurança. Outros se moverão mais lentamente. Mesmo que as chaves de acesso peguem rapidamente, não espere que as senhas desapareçam.
Os sites e aplicativos exigirão que eu use chaves de acesso?
É improvável que você seja forçado a usar chaves de acesso enquanto a tecnologia for nova e desconhecida. Os sites e aplicativos que você já usa provavelmente adicionarão suporte à senha junto com os métodos de senha existentes.
Quando você se inscreve em um novo serviço, as chaves de acesso podem ser apresentadas como a opção preferencial. Eventualmente, eles podem se tornar a única opção.
As chaves de acesso me trancarão nos ecossistemas da Apple ou do Google?
Não exatamente. Embora as chaves de acesso estejam ancoradas no conjunto de tecnologia de uma empresa, você poderá sair, digamos, do mundo da Apple para usar chaves de acesso com as da Microsoft ou do Google.
“Os usuários podem fazer login em um navegador Google Chrome que está rodando no Microsoft Windows, usando uma senha em um dispositivo Apple”, disse Vasu Jakkal, líder de tecnologia de segurança e identidade da Microsoft, em um post no blog de maio.
Os defensores da senha também estão trabalhando em tecnologia para permitir que as pessoas migrem suas senhas de um domínio tecnológico para outro, dizem a Apple e o Google.
Como os gerenciadores de senhas estão envolvidos com as chaves de acesso?
Os gerenciadores de senhas desempenham um papel cada vez mais importante na geração, armazenamento e sincronização de senhas. Mas as chaves de acesso provavelmente serão ancoradas ao seu telefone ou computador pessoal, não ao seu gerenciador de senhas, pelo menos aos olhos de gigantes da tecnologia como Google e Apple.
Isso pode mudar, no entanto.
“Esperamos uma evolução natural para uma arquitetura que permita que gerenciadores de senha de terceiros se conectem e para portabilidade entre ecossistemas”, disse Risher, do Google.
Ele antecipa que as chaves de acesso evoluirão para reduzir as barreiras entre os ecossistemas e acomodar os gerentes de chaves de acesso de terceiros. “Este tem sido um ponto de discussão desde o início deste impulso da indústria.”
De fato, o gerenciador de senhas Dashlane está testando o suporte à chave de acesso e planeja lançá-lo amplamente nas próximas semanas. “Os usuários podem armazenar suas senhas para vários sites e se beneficiar da mesma conveniência e segurança que já têm com suas senhas”, disse a empresa em um post no blog.
O fabricante de 1Passwords AgileBits acaba de ingressar na FIDO Alliance, e DashLane e LastPass já são membros.