Um ano após a Microsoft anunciar suporte para *passkeys* em contas de consumidores, o gigante tecnológico anunciou uma grande mudança que incentiva as pessoas que criam novas contas a usar o método de autenticação resistente a *phishing* por padrão.
"Novas contas da Microsoft agora serão 'sem senha por padrão'", disseram Joy Chik e Vasu Jakkal da Microsoft.
"Novos usuários terão várias opções sem senha para entrar em suas contas e nunca precisarão cadastrar uma senha.
Usuários existentes podem visitar as configurações de sua conta para deletar sua senha."
O fabricante do Windows disse que também simplificou a experiência de inscrição e entrada de usuário priorizando métodos sem senha.
Além disso, o processo de entrada agora detecta automaticamente o melhor método disponível na conta de um usuário e o define como padrão.
Por exemplo, se uma conta tem a opção de entrar via senha e um "código de uso único", o usuário será solicitado a entrar via código de uso único em vez da senha.
Uma vez conectado, eles serão então instruídos a configurar uma *passkey* para proteção otimizada.
A última movimentação da Microsoft, junto com seus pares Apple, Google, Amazon, e outros nos últimos anos, representa um avanço constante em direção a um futuro sem senhas.
Com ataques cibernéticos baseados em senhas continuando a ser um vetor de acesso inicial lucrativo para atores mal-intencionados, a adoção de *passkeys* marca um passo importante para a segurança de contas.
Em setembro de 2023, a Microsoft implementou suporte para *passkeys* no Windows 11, aproximadamente na mesma época em que o Google fez das *passkeys* seu método de login padrão para todos os usuários globalmente.
No ano passado, atualizou o Windows Hello para oferecer suporte à tecnologia.
*Passkeys* oferecem uma forma mais segura de se logar em sites e aplicativos por eliminar a necessidade de senhas.
Apoiadas pela Aliança de Identidade Online Rápida (FIDO), as *passkeys* dependem de técnicas de criptografia de chave pública/privada para autenticar usuários.
Assim, quando um usuário se registra em um serviço online, seu dispositivo cliente (ou seja, telefone ou PC) gera um novo par de chaves.
A chave privada é armazenada de forma segura no dispositivo do usuário, enquanto a chave pública é registrada com o serviço.
Durante o login, o dispositivo cliente usa a chave privada para assinar um desafio após o proprietário do dispositivo autenticá-lo usando suas informações biométricas (por exemplo, reconhecimento facial ou digital).
Em outubro de 2024, a Aliança FIDO disse que está trabalhando com as partes interessadas para tornar *passkeys* e outras credenciais mais fáceis de exportar entre diferentes provedores e melhorar a interoperabilidade dos provedores de credenciais.
Mais de 15 bilhões de contas de usuários podem se logar usando *passkeys* em vez de senhas desde o último ano.
A associação de indústria aberta, no mês passado, também lançou um Grupo de Trabalho de Pagamentos (Payments Working Group - PWG) para definir e impulsionar soluções FIDO para casos de uso de pagamento.
Espera-se que o PWG "identifique e avalie soluções existentes e emergentes para atender aos requisitos de autenticação de pagamento" e estabeleça "diretrizes para o uso de *passkeys* e/ou soluções FIDO propostas juntamente com tecnologias de pagamento existentes."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...