Pessoas no Reino Unido foram orientadas a começar a abandonar senhas em favor de passkeys, sempre que essa opção estiver disponível, como forma de proteger suas contas online.
As senhas há muito tempo são o método padrão usado por muita gente para criar e acessar contas em serviços digitais.
Mas o National Cyber Security Centre, o NCSC, afirmou na quinta-feira que está “reformulando décadas de prática de segurança” para recomendar as passkeys como a opção mais segura.
Plataformas como Apple, Google e X já permitem que os usuários usem esse recurso no lugar das senhas, mas o que são as passkeys e como elas funcionam?
A orientação vem após anos de alertas contra o uso de códigos simples, fáceis de adivinhar, como “123456”, além de nomes de animais de estimação, como senhas.
Diante do aumento de data breaches, o NCSC também reforçou o alerta contra o uso da mesma senha em sites diferentes.
Gerenciadores de senhas e métodos de MFA têm ganhado espaço como forma de fortalecer e armazenar credenciais de acesso.
O NCSC avalia que as passkeys podem ser menos vulneráveis a hacks e a erros humanos, mas alguns especialistas dizem que elas ainda “não são uma solução mágica”.
O que são passkeys?
Assim como as senhas, as passkeys são uma forma de autenticação para garantir que é você quem está tentando acessar uma conta.
Mas, diferentemente das senhas, elas não exigem que o usuário memorize um código ou uma combinação de letras, números e símbolos.
As passkeys são informações digitais vinculadas à conta de um usuário e exclusivas para cada site ou aplicativo em que são usadas.
Elas utilizam criptografia para realizar verificações no nível do dispositivo.
Em geral, funcionam junto com tecnologias já integradas a aparelhos como smartphones, como Face ID e Touch ID nos iPhones, e Face Unlock nos celulares Google Pixel.
Google e Apple, fabricante do iPhone, estão entre os desenvolvedores de sistemas operacionais que oferecem esse recurso como alternativa para o login em contas.
Segundo o NCSC, as passkeys podem oferecer mais proteção porque são exclusivas para cada site em que são cadastradas e não compartilham nenhuma informação secreta.
Jonathan Ellison, diretor de resiliência nacional do NCSC, chamou o recurso de “uma alternativa amigável ao usuário, que oferece maior resiliência geral”.
Ele acrescentou que elas também podem ajudar a aliviar “as dores de cabeça que lembrar senhas nos causou por décadas”.
Como elas funcionam?
As passkeys são ativadas por meio da chamada criptografia de chave pública.
“Em vez de você criar e memorizar um segredo compartilhado, como uma senha, seu dispositivo gera um par de chaves seguro, uma parte fica no seu aparelho e a outra permanece com o serviço em que você está fazendo login”, diz Daniel Card, do BCS, o Chartered Institute for IT.
O processo normalmente envolve a mesma ação usada para desbloquear o dispositivo, como o uso de sensores biométricos integrados para ler a impressão digital ou o rosto, ou a digitação de um PIN.
Apenas o fato de que a verificação foi concluída, e não a informação em si, é trocado entre as partes.
“Essas chaves de segurança físicas são totalmente resistentes a tentativas de phishing e não podem ser interceptadas ou roubadas por invasores remotos, o que significa que somente o detentor da chave pode acessar suas contas”, afirma Niall McConachie, diretor regional da empresa de cibersegurança Yubico.
“Não são uma solução mágica”
O NCSC e muitos especialistas em cibersegurança acreditam que as passkeys podem ser pelo menos tão seguras quanto, ou até mais seguras que, métodos de MFA, como combinar uma senha forte com verificações adicionais para confirmar que é você quem está tentando entrar em uma conta em outro dispositivo.
Mas Card observa, assim como outros especialistas já fizeram, que as passkeys “não são uma solução mágica”.
Perder o dispositivo, ou ficar sem acesso a ele, também pode dificultar a configuração das passkeys.
O NCSC afirma que não recomendava a adoção desse recurso no passado devido a “desafios de implementação”, como a adoção lenta e o suporte irregular.
Muitas plataformas ainda não permitem que os usuários usem passkeys no lugar das senhas ou junto delas.
Mas, segundo a Fido Alliance, associação do setor que promove as passkeys como caminho para um “futuro sem senhas”, a tecnologia já é compatível com todos os principais sistemas operacionais, navegadores e provedores de terceiros.
McConachie afirma que o apoio crescente às passkeys, incluindo a adoção pelo governo do Reino Unido em serviços digitais no ano passado, mostra que “isso não é apenas uma tendência de nicho”.
“A migração de senhas para gerenciadores de senhas, MFA baseada em aplicativos e, agora, passkeys é uma mudança significativa na redução de riscos”, acrescenta Card.
“Por isso organizações como o NCSC estão apoiando essa tecnologia, e por que muitos na comunidade de segurança já a estão adotando onde ela está disponível.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...