Passkeys são mais seguras do que senhas tradicionais porque são baseadas em criptografia
X, anteriormente conhecido como Twitter, e LinkedIn estão tomando medidas para suportar passkeys – que significa “chave de acesso” ou “chave de autenticação – de acordo com as descobertas do The Tape Drive em atualizações de código de backend para cada aplicativo.
O termo “Passkeys” é usado para descrever um novo método de autenticação sem senha que está sendo desenvolvido pelo World Wide Web Consortium (W3C) e pela FIDO Alliance.
As Passkeys usam criptografia para permitir que os usuários façam login em sites e aplicativos usando seus dispositivos móveis ou computadores.
As plataformas de mídia social não anunciaram quando os aplicativos começarão a suportar Passkeys, mas sua adoção iminente representa mais um grande passo para a adoção mainstream do consumidor.
Os passkeys foram desenvolvidos com base nos padrões da FIDO Alliance para fornecer uma alternativa à autenticação por senha resistente a phishing para acesso a contas por consumidores e funcionários.
Apple, Google e Microsoft também estão em processo de suporte a passkey em suas plataformas e aplicativos. Os usuários do Android 14 terão a opção de usar provedores de passkey de terceiros, enquanto a Apple atribuirá automaticamente um Passkey a todos os proprietários de hardware com um ID Apple a partir da versão 17 do iOS. As implantações de passkey do TikTok e do GitHub começaram no mês passado.
As atualizações do X e do LinkedIn também surgem quando os provedores de autenticação sem senha lançam ferramentas para facilitar o uso de passkeys.
Provedores de gerenciamento de contas adicionam recursos para ajudar na implementação de passkeys
Os provedores de MFA estão tomando medidas para simplificar a implementação de chaves de acesso biométricas.
A Beyond Identity, provedora de gerenciamento de identidade sem senha, por exemplo, anunciou o lançamento do Passkey Journey, uma ferramenta para ajudar os desenvolvedores a adotarem passkeys de forma mais eficiente para otimizar as experiências de autenticação do usuário final. A ferramenta é gratuita e GDPR-compliant.
O Passkey Journey fornece um snippet JavaScript que pode ser integrado em um site e analisar os navegadores e dispositivos dos visitantes para determinar se eles suportam o WebAuthn e o uso de passkeys.
A ferramenta cria um relatório para mostrar uma divisão percentual dos visitantes que podem usar passkeys com biometria, apenas com chaves de segurança ou que não podem usar Passkeys de todo. Ele também dá recomendações para otimizar o lançamento de Passkey, bem como insights de UX.
“A adoção de passkeys é um objetivo fundamental para a FIDO Alliance”, diz Andrew Shikiar, diretor executivo e CMO da FIDO Alliance. “Ao longo do ano passado, publicamos diretrizes de UX baseadas em pesquisas para apoiar implantações de consumo e documentos de implantação de melhores práticas para permitir a utilização empresarial. O Passkey Journey é uma ferramenta de desenvolvimento valiosa que pode ajudar as empresas a tomar decisões informadas sobre suas implantações de passkeys.”
Quais são os benefícios de usar passkeys?
Passkeys oferecem uma série de benefícios em relação às senhas tradicionais, incluindo:
Segurança aprimorada: Passkeys são baseadas em criptografia e são mais difíceis de serem hackeadas do que senhas.
Conveniência: Passkeys são sincronizadas entre seus dispositivos, tornando mais fácil fazer login em sites e aplicativos em qualquer lugar.
Facilidade de uso: Passkeys são fáceis de configurar e usar, mesmo para usuários iniciantes.
Como funcionam as passkeys?
Passkeys são baseadas em um novo padrão de autenticação chamado WebAuthn. WebAuthn usa criptografia para criar um par de chaves público-privado para cada usuário. A chave pública é armazenada no site ou aplicativo, enquanto a chave privada é armazenada no dispositivo do usuário.
Quando um usuário faz login em um site ou aplicativo que suporta passkeys, ele é solicitado a escanear um código QR ou tocar no botão de autenticação no seu dispositivo. O dispositivo do usuário então cria um token de autenticação e o envia para o site ou aplicativo.
O site ou aplicativo verifica o token de autenticação com a chave pública armazenada no servidor. Se o token for válido, o usuário é autenticado e autorizado a acessar o site ou aplicativo.
As passkeys são seguras?
Passkeys são mais seguras do que senhas tradicionais porque são baseadas em criptografia. A chave privada armazenada no dispositivo do usuário é protegida por criptografia e não pode ser acessada por terceiros.
Além disso, passkeys são sincronizadas entre seus dispositivos, o que torna mais difícil para um invasor roubar suas chaves. Se um invasor roubar seu dispositivo, ele ainda precisará roubar sua chave privada para fazer login em seus sites e aplicativos.
Quais sites e aplicativos suportam passkeys?
Passkeys ainda estão em desenvolvimento, mas estão sendo adotadas por um número crescente de sites e aplicativos. Algumas das empresas que já implementaram passkeys incluem Apple, Google e Microsoft.
Atualmente, passkeys são suportadas pelos seguintes sites e aplicativos:
- Apple iCloud
- Google Chrome
- Microsoft Edge
- GitHub
- 1Password
- LastPass
Como configurar passkeys?
Para configurar passkeys, você precisará de um dispositivo com suporte para WebAuthn. Se você estiver usando um dispositivo Apple, precisará do iOS 16 ou macOS Ventura. Se você estiver usando um dispositivo Android, precisará do Android 13 ou posterior.
Para configurar passkeys em um site ou aplicativo que as suporta, siga estas etapas:
- Faça login no site ou aplicativo usando suas credenciais existentes.
- Siga as instruções para configurar passkeys.
- Escaneie um código QR ou toque no botão de autenticação no seu dispositivo.
- Seu dispositivo criará um token de autenticação e o enviará para o site ou aplicativo.
- Se o token for válido, suas passkeys serão configuradas.
Depois de configurar passkeys, você poderá fazer login em sites e aplicativos que as suportam sem precisar digitar uma senha.
Com informações de The Tape Drive
LastPass apresenta na RSA 2022 autenticador que permite aos clientes acesso com um login sem senha
IAM Tech Day Vai Abordar a Modernização da Identidade em Direção ao Acesso Sem senha
Sua solução de autenticação sem senha é realmente sem senha?
Futuro sem senha: será que já podemos sonhar com o fim das palavras-passe longas e complicadas?
Especificações atualizadas da FIDO Alliance são adotadas como padrões internacionais da ITU
AUTENTICAÇÃO
Autenticação forte faz parte da estratégia de segurança da informação de todas as empresas que utilizam meios eletrônicos. No Crypto ID temos muitos artigos e matérias sobre o tema para complementar seu conhecimento. Leia sobre Autenticação nesse link!