Autenticação Passkey

Publicado

Por

Alfredo Santos

Autenticação Passkey

A autenticação de identidade online já está vivendo uma revolução que abraça, entre outras tecnologias, o login que dispensa o uso de senhas. Tal processo é chamado de autenticação passkey e está sendo encabeçado por um consórcio de empresas de referência no universo da tecnologia que, juntas, compõem a FIDO Alliance.

Neste artigo vamos entender quais são os benefícios de isentar usuários da criação de senhas, quem são as instituições eminentes por trás do desenvolvimento da autenticação passkey e qual é o papel dessa tecnologia para a segurança digital.

FIDO Alliance

FIDO é a sigla de Fast Identity Online (do inglês, Identidade Online Rápida), que dá nome a uma aliança de empresas cujo objetivo é fornecer padrões de autenticação abertos e gratuitos para diminuir a submissão das pessoas com criação e uso de senhas. Em suma, o que se deseja é criar um processo de autenticação mais amigável, seguro e fácil.

Fundada em 2013, a FIDO Alliance já possui mais de 250 membros advindos dos mais variados setores com viés tecnológico, assim como telecomunicação, pagamento, comércio digital, saúde, etc. Alguns exemplos de empresas que fazem parte do seu conselho são Amazon, American Express, Apple, Facebook, Google e Microsoft.

O que é uma passkey?

Conforme mencionado, passkey é um processo de autenticação que não necessita de senha. Ao invés disso, conta-se com uma chave digital capaz de autenticar o usuário que a utiliza. Tudo isso graças ao padrão WebAuthentication, uma API baseada na criptografia de chaves públicas.  

O fluxo começa com a geração de uma chave pública e outra privada. A chave privada é mantida no dispositivo do usuário, ao passo que a chave pública é compartilhada com o serviço que está sendo acessado. No momento em que o usuário tenta fazer login, o serviço envia um estímulo ao seu dispositivo. Uma vez recebido, o estímulo é criptografado com a chave pública. Então a chave privada é utilizada pelo dispositivo do usuário para descriptografar o estímulo e enviar uma resposta para o serviço. Com a validação da resposta, o serviço é capaz de saber que a chave privada do usuário é válida e a autenticação é feita com sucesso. 

Benefícios da passkey

Ao gerar e manter uma conta que requer apenas uma passkey, o usuário tem uma experiência bastante segura, pois cada conta possui um conjunto único de chaves criadas pelo seu dispositivo em uso. Igualmente, o usuário se vê protegido de maneira mais eficaz contra tentativas de phishing,  roubo de senha e ações de softwares maliciosos.

E não podemos esquecer que a autenticação feita com uma passkey é praticamente instantânea, já que o processo também pode contar com o compartilhamento de dados biométricos. Isso resulta em uma experiência extremamente rápida, ainda mais se pensarmos em serviços que solicitam que o usuário crie senhas longas e com variação de tipos de caracteres. 

Passkeys também podem ser utilizadas em múltiplos dispositivos, permitindo que o acesso seja feito de qualquer lugar em que o usuário esteja. Isso é especialmente prático e seguro para aqueles que costumam acessar serviços a partir de dispositivos distintos (por exemplo, smartphones, tablets e notebooks).

Além disso, as passkeys extinguem a necessidade de acionar o recurso de recuperação de senhas quando as mesmas são esquecidas pelos usuários. Para os provedores de serviço, essa é uma vitória e tanto, dado que uma parcela significativa das solicitações de atendimento online são abertas justamente para redefinir senhas negligenciadas.

Níveis de segurança

O Instituto Nacional de Padrões e Tecnologia (NIST), estabelecido nos Estados Unidos, possui diretrizes para classificar os níveis de segurança, que ficam numa faixa que varia de “alto” a “baixo”. As passkeys são capazes de atender diversos níveis de segurança, tornando-as utilizáveis para um vasto sortimento de setores.

  • Autenticadores de baixa segurança
    Autenticadores de baixa segurança abrangem tipos específicos de passkeys, que requerem do usuário a simples demonstração de posse e uso do seu dispositivo para conceder acesso a conta desejada (fator único de autenticação). 
  • Autenticadores de alta segurança
    Autenticadores de alta segurança são mais indicados para aplicações que envolvem o manejo de dados financeiros (indústria bancária) ou informações pessoais sensíveis (indústria da saúde, setor público, entre outros). Para isso, utilizam-se 2 fatores distintos de autenticação, resultando na geração de uma chave única, que não pode ser copiada.

Preocupações e otimismo

As ameaças de segurança mais comuns já podem ser erradicadas com a eliminação de senhas, provendo total alinhamento com a ascendência da segurança digital moderna. Por outro lado, as passkeys não fazem com que especialistas deixem de lado certas preocupações. Algumas delas são o rastreamento entre dispositivos e o armazenamento de passkeys em nuvem.

Ainda que a negociação de passkeys aconteça no estilo peer-to-peer, outros meios podem ser aplicados para rastrear dispositivos – e isso pode se tornar uma grande preocupação. Quanto às passkeys armazenadas em nuvem, não há grandes alardes do ponto de vista da segurança cibernética – isso porque elas são criptografadas de ponta a ponta antes do seu armazenamento. 

Alfredo Santos

Alfredo Santos é um líder na comunidade brasileira de IAM, professor do assunto na FIA, Autor de livros de IAM/IAG e responsável pelo evento IAM Tech Day. Possui 25 anos de experiência no assunto IAM por ter atuado em empresas e projetos importantes, alguns deles em âmbito global. Atualmente lidera projetos globais de IAM que afeta grupos de empresas nas Américas, Asia e Europa.

Linkedin: https://www.linkedin.com/in/alfredosantos/