As senhas tradicionais estão com os dias contados. Será mesmo?
Google, Microsoft e Apple têm investido pesado nas passkeys como alternativa segura e prática às senhas, mas a tal revolução prometida passa pelo convencimento dos usuários. E nem é tão difícil fazer as mentes mais conscientes a mudarem de ideia neste caso.
Trocar as complexas combinações de letras, números e caracteres especiais que precisam ser memorizadas ou armazenadas pela biometria e critpografia avançada para a autenticação deveria ser encarado como um bom negócio por qualquer pessoa.
Mas a experiência prática com a tecnologia possui vantagens e desvantagens, tal e como qualquer coisa nessa vida.
O que são as passkeys?
Eu já falei sobre isso no blog, mas a audiência é rotativa.
As passkeys são um sistema de autenticação baseado em criptografia, que substitui as senhas tradicionais através de uma senha única ou confirmação biométrica.
O usuário é identificado através de sua impressão digital, reconhecimento facial ou PIN do dispositivo. O sistema gera um par de chaves – uma pública e outra privada – que funciona exclusivamente com o serviço específico.
A tecnologia oferece maior segurança porque as chaves não podem ser roubadas ou reutilizadas. Além disso, proporcionam melhor proteção contra phishing e outros tipos de ataques cibernéticos comuns.
Tudo lindo… na teoria.
Mas… como as passkeys estão funcionando na prática?
Experiência prática de uso
Depende do tipo de passkey que você usar, a experiência pode ser ótima ou um pesadelo.
Algumas propostas surpreendem, com um processo de autenticação instantâneo e natural – basta apoiar o dedo no leitor biométrico do smartphone e pronto: você confirma que é o usuário da conta, liberando o acesso ao serviço.
Eu já uso isso no meu notebook com Windows a algum tempo, o que me economiza um tempo enorme na hora de acessar sites e plataformas financeiras.
A praticidade eliminou a necessidade de alternar entre aplicativos para copiar senhas. O acesso aos serviços acontece de forma fluida, criando uma sensação quase mágica de simplicidade no processo de login.
As passkeys passam (e esse é um jogo de palavras infeliz) uma sensação de segurança muito maior que as senhas tradicionais. Sem credenciais armazenadas que possam ser comprometidas em vazamentos de dados, o risco de ataques cibernéticos reduz consideravelmente.
A criptografia assimétrica torna cada autenticação única e intransferível. Não há mais a preocupação com senhas mestras complexas ou medo constante de que credenciais sejam expostas em violações de segurança.
Tudo lindo, certo?
Bom… mais ou menos….
Nem tudo é fantástico nas passkeys
As passkeys apresentam restrições importantes relacionadas aos ecossistemas fechados. Cada gigante tecnológico utiliza seu próprio sistema, limitando a interoperabilidade entre diferentes plataformas.
Ou seja, você basicamente precisa ter uma solução para cada sistema ou plataforma, e não ter uma alternativa universal é algo pouco prático para a maioria dos usuários.
Quem tem o iCloud, por exemplo, têm experiência otimizada apenas em dispositivos Apple, através de suas passkeys exclusivas. Ao tentar acessar conta Apple em dispositivo Windows, é necessário usar métodos alternativos de verificação através do smartphone.
E como a Microsoft acabou mudando o Authenticator para que ele se torne um aplicativo apenas e tão somente para a autenticação (sem contar com armazenamento de senhas), a gente descobre com o tempo que alguns softwares capam o próprio potencial “de propósito”, para você ficar preso ao ecossistema de soluções da empresa.
Digo isso porque, além dos passkeys, no caso da Microsoft, somos “obrigados” a usar o navegador web Edge, pois é ele quem salva as senhas na prática a partir de agora.
A tecnologia intensifica a dependência do smartphone como chave principal para a vida digital. Sem o dispositivo, o uso das passkeys pode exigir etapas adicionais, como utilizar outros dispositivos vinculados ou escanear códigos QR.
Apesar de algumas plataformas como Apple e Google permitirem a sincronização segura via nuvem, persiste a preocupação com a perda do smartphone. Ao menos o risco é mitigado através de recursos de recuperação e backups criptografados.
E, mesmo assim: pense na dor de cabeça que você vai ter para recuperar o dispositivo.
Como configurar
Para ativar as passkeys, é necessário acessar as configurações de segurança da conta nos respectivos serviços.
No Google, a opção encontra-se em “chaves de acesso e chaves de segurança”. Na Microsoft, deve-se procurar por “conta sem senhas” na seção de segurança.
Para usuários Apple, o gerenciamento acontece através das Chaves do iCloud, exigindo iOS 16, iPadOS 16, macOS Ventura ou versões superiores. A configuração requer Face ID, Touch ID ou PIN do dispositivo.
Vale a pena usar as passkeys?
Apesar dos pesares, sim. É melhor do que nada.
O tempo está mostrando que as passkeys tendem a ser mais eficientes que a autenticação em dois passos, estabelecendo uma camada de segurança adicional que efetivamente funciona para proteger as contas.
Afinal de contas, só você pode provar que é você mesmo quando solicitado. A não ser que arranquem o seu dedo ou o seu olho após o sequestro – e, mesmo assim.
Para quem está confiando que o SMS que recebe de uma plataforma é a garantia de que estará protegido contra invasões ou suplantação de contas, suas crenças são frágeis.
Considere a sério adotar as passkeys como recurso complementar de segurança. Não por ser uma tendência de futuro, mas por funcionar tal e como é prometido.
Você vai me agradecer depois por seguir este conselho.