Havia no MIT um computador chamado de Compatible Time-Sharing System (CTSS). Essa máquina foi a precursora de algumas das funcionalidades mais importantes da computação, como o e-mail e o compartilhamento de arquivos.
Uma vez que vários pesquisadores utilizavam o CTSS, era necessário assegurar a privacidade dos arquivos de cada um. Foi nesse contexto que surgiu a senha. Já na época, a solução pareceu óbvia, além de relativamente fácil de implementar. A partir daí, ela se tornou a forma mais difundida de autenticação nos computadores.
Estamos em 2023, no entanto, e muita coisa mudou. Os avanços em segurança da informação foram muitos, mas, quando se fala de senhas, vulnerabilidades sempre estão presentes. Vazamentos ocorrem com frequência, além de golpes para roubo de dados, como o famoso phishing.
Assim, por mais estranho que possa soar, o próximo capítulo da história da autenticação pode ser uma guinada para longe das senhas.
Passkeys entram em cena
As chaves de acesso, ou passkeys, no original, são uma forma de autenticação que vem ganhando mais espaço em plataformas do Google, Apple e Microsoft. Com elas, você não precisa de uma senha para acessar suas contas.
O processo é semelhante ao desbloqueio do celular. Ao invés da senha alfanumérica, você poderá utilizar a biometria facial ou impressão digital para fazer o login em algum serviço. Outros meios de validar sua identidade podem ser o PIN do Windows Hello e o padrão geométrico do celular.
O Google já liberou a funcionalidade para usuários já ativos, mas a oferece como padrão para novas contas. A empresa afirma que as passkeys são 40% mais rápidas do que as senhas tradicionais. Além de mais seguras.
Isso porque ficam armazenadas nos dispositivos em si, como uma chave criptográfica privada. Quando o usuário cadastra uma passkey, outra chave correspondente — a chave pública — é enviada ao serviço em questão. A relação entre ambas é a seguinte, de acordo com o blog de segurança do Google:
Quando você faz login, pedimos ao seu dispositivo que assine um desafio exclusivo com a chave privada. Seu dispositivo só fará isso se você aprovar, o que requer o desbloqueio do dispositivo. Em seguida, verificamos a assinatura com sua chave pública.
Não há necessidade de memorizar uma senha para logar, portanto. E, se não há senha cadastrada, não há senha que agentes maliciosos possam roubar. Sem senhas, não há vazamento de senhas.
É má notícia também para golpistas que praticam o phishing, criando sites falsos que se parecem com os de serviços verdadeiros para coletar dados. Uma vez que não há senha, e a chave pública só fica armazenada num serviço específico — a nuvem do Google, por exemplo —, não há o que ser roubado.
O Google permite até mesmo que a verificação em duas etapas seja pulada com o uso de passkeys. Vale lembrar que muitas pessoas utilizam o SMS como segunda etapa, o que as coloca em risco em caso de SIM swap. Menos uma preocupação.
Senhas por toda parte
No Tecnocast 312, conversamos sobre as passkeys e nossa relação com as senhas. Um ponto destacado é que, ao longo de nossa vida digital, administrar a quantidade de senhas foi se tornando caótico.
O motivo é óbvio para qualquer um que use a internet: tudo exige login e senha. Dessa forma, temos cada vez mais informação para gerir. Isso leva muita gente a criar senhas fracas, ou repetir a mesma senha em diversos serviços, o que não é indicado.
Para ajudar pôr ordem na bagunça, entram em cena os gerenciadores, capazes de gerar senhas fortes e armazená-las. Mas isso não é suficiente: a necessidade por mais segurança traz os aplicativos voltados para verificação em duas etapas para a mesa.
No entanto, ainda há uma parcela significativa de pessoas que não usam essas ferramentas, ou então mantém o SMS como forma básica de autenticação em dois fatores.
Não tem jeito: onde há senha, há vulnerabilidade, por maiores que tenham sido os avanços em segurança da informação nas últimas décadas. Vazamentos ocorrem com frequência, e novos golpes surgem a todo momento.
Por todos esses motivos, fica fácil entender o ímpeto de deixar as senhas para trás. E a adesão das principais empresas de tecnologia tende a tornar a tecnologia mais disseminada nos próximos anos.
O Google não esconde que as passkeys são parte de um projeto. As senhas continuam valendo por agora e certamente continuarão entre nós por muito tempo, afinal, nem todo dispositivo dá suporte às passkeys. Mas isso tende a mudar. O objetivo é claro: construir um futuro sem senhas.
Mais segurança pode significar menos senhas (ou senha nenhuma)
You must be logged in to post a comment.