Category: Passkey

Mais segurança pode significar menos senhas (ou senha nenhuma)

10 de novembro de 2023

Mais segurança pode significar menos senhas (ou senha nenhuma)

A senha é um dos elementos mais básicos de nossa vida on-line, e da própria computação pessoal. Está presente há décadas: desde o ano do começo da década de 1960, para ser mais preciso.

As chaves de acesso, ou passkeys, podem substituir as senhas tradicionais (Imagem: Vitor Pádua / Tecnoblog)

Havia no MIT um computador chamado de Compatible Time-Sharing System (CTSS). Essa máquina foi a precursora de algumas das funcionalidades mais importantes da computação, como o e-mail e o compartilhamento de arquivos.

Uma vez que vários pesquisadores utilizavam o CTSS, era necessário assegurar a privacidade dos arquivos de cada um. Foi nesse contexto que surgiu a senha. Já na época, a solução pareceu óbvia, além de relativamente fácil de implementar. A partir daí, ela se tornou a forma mais difundida de autenticação nos computadores.

Estamos em 2023, no entanto, e muita coisa mudou. Os avanços em segurança da informação foram muitos, mas, quando se fala de senhas, vulnerabilidades sempre estão presentes. Vazamentos ocorrem com frequência, além de golpes para roubo de dados, como o famoso phishing.

Assim, por mais estranho que possa soar, o próximo capítulo da história da autenticação pode ser uma guinada para longe das senhas.

Passkeys entram em cena

As chaves de acesso, ou passkeys, no original, são uma forma de autenticação que vem ganhando mais espaço em plataformas do Google, Apple e Microsoft. Com elas, você não precisa de uma senha para acessar suas contas.

O processo é semelhante ao desbloqueio do celular. Ao invés da senha alfanumérica, você poderá utilizar a biometria facial ou impressão digital para fazer o login em algum serviço. Outros meios de validar sua identidade podem ser o PIN do Windows Hello e o padrão geométrico do celular.

O Google já liberou a funcionalidade para usuários já ativos, mas a oferece como padrão para novas contas. A empresa afirma que as passkeys são 40% mais rápidas do que as senhas tradicionais. Além de mais seguras.

Isso porque ficam armazenadas nos dispositivos em si, como uma chave criptográfica privada. Quando o usuário cadastra uma passkey, outra chave correspondente — a chave pública — é enviada ao serviço em questão. A relação entre ambas é a seguinte, de acordo com o blog de segurança do Google:

Quando você faz login, pedimos ao seu dispositivo que assine um desafio exclusivo com a chave privada. Seu dispositivo só fará isso se você aprovar, o que requer o desbloqueio do dispositivo. Em seguida, verificamos a assinatura com sua chave pública.

Não há necessidade de memorizar uma senha para logar, portanto. E, se não há senha cadastrada, não há senha que agentes maliciosos possam roubar. Sem senhas, não há vazamento de senhas.

É má notícia também para golpistas que praticam o phishing, criando sites falsos que se parecem com os de serviços verdadeiros para coletar dados. Uma vez que não há senha, e a chave pública só fica armazenada num serviço específico — a nuvem do Google, por exemplo —, não há o que ser roubado.

O Google permite até mesmo que a verificação em duas etapas seja pulada com o uso de passkeys. Vale lembrar que muitas pessoas utilizam o SMS como segunda etapa, o que as coloca em risco em caso de SIM swap. Menos uma preocupação.

Senhas por toda parte

No Tecnocast 312, conversamos sobre as passkeys e nossa relação com as senhas. Um ponto destacado é que, ao longo de nossa vida digital, administrar a quantidade de senhas foi se tornando caótico.

O motivo é óbvio para qualquer um que use a internet: tudo exige login e senha. Dessa forma, temos cada vez mais informação para gerir. Isso leva muita gente a criar senhas fracas, ou repetir a mesma senha em diversos serviços, o que não é indicado.

Para ajudar pôr ordem na bagunça, entram em cena os gerenciadores, capazes de gerar senhas fortes e armazená-las. Mas isso não é suficiente: a necessidade por mais segurança traz os aplicativos voltados para verificação em duas etapas para a mesa.

No entanto, ainda há uma parcela significativa de pessoas que não usam essas ferramentas, ou então mantém o SMS como forma básica de autenticação em dois fatores.

Não tem jeito: onde há senha, há vulnerabilidade, por maiores que tenham sido os avanços em segurança da informação nas últimas décadas. Vazamentos ocorrem com frequência, e novos golpes surgem a todo momento.

Por todos esses motivos, fica fácil entender o ímpeto de deixar as senhas para trás. E a adesão das principais empresas de tecnologia tende a tornar a tecnologia mais disseminada nos próximos anos.

O Google não esconde que as passkeys são parte de um projeto. As senhas continuam valendo por agora e certamente continuarão entre nós por muito tempo, afinal, nem todo dispositivo dá suporte às passkeys. Mas isso tende a mudar. O objetivo é claro: construir um futuro sem senhas.
Mais segurança pode significar menos senhas (ou senha nenhuma)

Mais segurança pode significar menos senhas (ou senha nenhuma)
Fonte: Tecnoblog

WhatsApp está testando suporte a passkeys

11 de agosto de 2023

WhatsApp está testando suporte a passkeys

Como você deve saber, golpes envolvendo WhatsApp são muito frequentes, e criminosos estão sempre de olho em novas formas de invadir as contas das vítimas. O aplicativo está testando formas de melhorar a segurança, incluindo o que há de mais moderno no assunto: suporte a passkeys.

WhatsApp (imagem: Vitor Pádua/Tecnoblog)

O suporte às passkeys foi encontrado pelo site especializado WABetaInfo no WhatsApp Beta para Android versão 2.23.17.5. O recurso ainda está em desenvolvimento e não foi disponibilizado aos usuários do programa de testes.

Quando ele estiver disponível, será possível fazer login no aplicativo usando a passkey que está cadastrada no gerenciador de senhas do Google.

Atualmente, para entrar pela primeira vez em um novo dispositivo, o WhatsApp confirma o número de telefone por meio de SMS e cobra uma senha de seis dígitos numéricos.

Muitas vezes, isso não é suficiente, já que golpistas conseguem convencer vítimas a entregar essas informações.

Passkeys dispensam uso de senhas

As passkeys, também chamadas de chaves de acesso, são uma forma de autenticação sem senha.

Elas usam autenticação biométrica — impressão digital ou escaneamento facial, por exemplo — ou um PIN da tela de bloqueio do celular para confirmar que quem está tentando entrar é realmente o dono daquela conta.

As passkeys só existem nos dispositivos confirmados — usuários não podem anotá-las ou esquecê-las, e criminosos não podem roubá-las. Por isso, elas estão mais seguras em casos de vazamentos de dados ou ataques usando engenharia social.

O processo todo é baseado em criptografia: o dispositivo aprovado precisa solucionar um desafio enviado pelo servidor com sua chave particular, e isso só acontece com aprovação do usuário.

Além do Google, o gerenciador de senhas do iOS e o 1Password já anunciaram suporte ao novo padrão.

WhatsApp estuda mais formas de proteger contas

Além das passkeys, o WhatsApp vem testando uma confirmação por e-mail na hora de fazer login. O recurso foi encontrado na versão 2.23.16.15 do WhatsApp Beta para Android, lançada no começo de agosto de 2023.

Atualmente, ele está em desenvolvimento e não foi liberado para os usuários da versão de testes. Portanto, não dá para saber exatamente como vai funcionar. Atualmente, o e-mail é usado para recuperar acesso à conta.

Outras ferramentas, porém, já estão disponíveis. Desde abril de 2023, por exemplo, é possível exigir que a transferência da conta para outro celular seja confirmada no aparelho atual.

Com informações: WABetaInfo, Android Police
WhatsApp está testando suporte a passkeys

WhatsApp está testando suporte a passkeys
Fonte: Tecnoblog