Google, Apple e Microsoft se aliaram para uma missão em comum: acabar com as senhas. Para isso, apresentaram as chamadas Passkeys, cujo objetivo é permitir a inicialização de sessão sem a utilização de uma senha em webs e aplicativos.
Eu apoio a iniciativa, pois a utilização de sequência de números, letras e caracteres especiais é algo completamente ultrapassado nos aspectos tecnológicos. Qualquer um com um dispositivo hacker pode superar as credenciais de qualquer pessoa, e isso se tornou uma ameaça enorme para a maioria das pessoas… principalmente para aquelas que usam nesse momento a senha 123456.
Neste artigo, vamos ver como funciona o Google Passkeys, que se tornou uma realidade no Android e no Chrome para desktops.
Assim é o Google Passkeys
O Google Passkeys é (na teoria) mais seguro que as senhas que outros fatores de autenticação, e o argumento que sustenta essa afirmação é bem válido: não dá para reutilizar um Passkey, pois ele tem um caráter de acesso único.
Dessa forma, mesmo que um Passkey acabe vazando, ela não pode ser utilizada uma segunda vez, já que a sua existência por si indica que ela foi criada e utilizada pelo menos uma vez na vida, encerrando assim o seu ciclo útil. Além disso, a ferramenta não pode ser objeto de phishing, pois ele não se repete.
Para criar um Passkey que vai identificar as nossas credenciais em um aplicativo ou site web, você precisa usar um PIN, leitor de digitais, identificação facial ou identificação de iris, dependendo da autenticação biométrica cadastrada no equipamento pelo próprio usuário. Ou seja, quanto mais avançado é o sistema de biometria, mais pessoal será o tipo de acesso ao recurso, deixando o usuário absolutamente seguro sobre o acesso de suas credenciais.
Além disso, o Google poderá comprovar se aquela pessoa que deseja acessar um serviço é realmente a proprietária do dispositivo, eliminando as chances do “amigo do amigo meu” acessar a conta de uma plataforma de forma temporária, apenas para ver aquele episódio de The Crown que esqueceu de ver no final de semana.
Quando um usuário deseja acessar um serviço que usa uma senha ou código de acesso, o navegador ou o sistema operacional vai ajuda-lo a selecionar e usar uma chave de acesso único, em uma experiência similar ao que encontramos hoje no sistema de senhas salvas. Isso agiliza o acesso do usuário nas diferentes plataformas cadastradas.
Porém, para garantir que apenas e somente o proprietário legítimo daquela conta poderá usar uma senha, o sistema vai pedir que o usuário desbloqueie o dispositivo a partir de um sensor biométrico, PIN ou padrão. E é aqui que recomendamos fortemente que o usuário faça esse acesso com o leitor de digitais ou a identificação de iris sempre que possível, pois é isso o que vai garantir que o Google Passkeys seja algo praticamente inviolável.
Um usuário poderá acessar aos serviços a partir de qualquer dispositivo com um código de acesso, independentemente de onde essa senha está armazenada. Se o código foi criado em um smartphone, ele pode ser utilizado para acessar um site web em um computador de forma completamente independente e desconectado da internet.
No Chrome para Android, as senhas são armazenadas no Administrador de Senhas do Google, que vai sincronizar essas credenciais entre os dispositivos Android do usuário que acessaram a mesma conta Google cadastrada. Algo bem parecido com o que funciona na prática com as senhas salvas do Google Chrome hoje.
Uma preocupação que pode ser eliminada desde já é sobre a restrição do uso das senhas apenas nos dispositivos onde as credenciais estão armazenadas. Esse uso é em múltiplos dispositivos, inclusive se as credenciais não estão sincronizadas com o computador ou tablet, bastando o usuário aprovar o acesso no telefone. E todos os navegadores web podem se adaptar ao padrão de compilação do Google Passkeys.
Na prática, é um sistema bem robusto e, por incrível que pareça, muito simples de utilizar. Com essa flexibilidade de uso e em múltiplos dispositivos, o Google Passkeys pode atuar como uma autêntica chave de autenticação permanente e, ao mesmo tempo, volátil o suficiente para não ser a mesma para dois acessos em dispositivos diferentes.
Como o Google garante que tudo isso vai respeitar a sua privacidade?
Eu sei que este é um tema bem importante para muita gente. Por isso, vamos esclarecer as coisas de forma bem clara e, por que não dizer, definitiva.
O Google reconhece que alguns usuários podem receber repentinamente uma autenticação biométrica em um site web ou aplicativo e pensam que está enviando informações sensíveis para os servidores. Na prática, com as Passkeys, as informações de biometria do usuário jamais serão reveladas, nem no site, nem no aplicativo. Os conteúdos biométricos nunca saem do dispositivo pessoal do usuário.
Ou seja, nenhuma informação poderá ser utilizada ou compartilhada com outros sites como um vetor de monitoramento do comportamento do usuário. Apenas o usuário poderá acessar e usar esses dados, mesmo que uma cópia de segurança dessas informações fique armazenada nos servidores do Google, pois a gigante de Mountain View está proibida de usar essas informações.
Bom… isso é o que o Google diz.
Estamos conversados?