Share the post "Google quer acabar com as passwords e popularizar as passkeys"
Acabar com as passwords é um caminho que várias grandes empresas tecnológicas como a Google, Apple ou Microsoft têm vindo a preparar nos últimos anos.
A principal razão apontada para esta morte anunciada é a vontade de melhorar a segurança do nosso acesso às contas de emails, sites, aplicações e todo o tipo de conteúdos online que dependem do login em contas privadas.
Ao pedir aos seus utilizadores não profissionais para começarem a adotar uma passkey (chave de acesso) em vez de uma password para aceder à sua conta de gmail, a Google já está a preparar o terreno para esta nova realidade.
Mas o que é uma passkey e como pode esta chave de acesso melhorar a segurança de um login?
O que é uma passkey e como funciona?
Uma password tradicional é constituída por uma sequência de caracteres que introduzimos através dos nossos dispositivos sempre que queremos fazer login numa conta de email, num site ou numa aplicação.
À medida que a Internet foi evoluindo e que os problemas com a segurança começaram a colocar-se, as passwords foram revelando as suas fragilidades.
Fáceis de capturar em ataques de phishing e difíceis de memorizar quando fortes (com vários números e letras), foi necessário complementá-las com alternativas como a autenticação por dois fatores (com o envio de um sms por exemplo) ou mesmo com o recurso a dispositivos físicos para o efeito (pens ou outros).
Uma passkey irá fazer o mesmo que uma password tradicional, pelo menos do lado do utilizador, já que lhe vai permitir fazer login em serviços que exigem uma conta online.
A diferença é que em vez de o fazer escrevendo caracteres, vai poder fazê-lo recorrendo a uma destas três opções: através de dados biométricos, como a impressão digital ou o reconhecimento facial, digitando um PIN ou recorrendo à leitura de um padrão no ecrã (swipe pattern).
É no entanto no seu funcionamento como sistema de proteção que a maior inovação acontece face a uma senha tradicional o que poderá acabar com as passwords.
Duas chaves numa passkey: uma pública e outra privada
Se optar por aceder ao seu gmail utilizando uma passkey, o que vai acontecer é que o seu dispositivo vai criar um par de chaves criptográficas. Uma será pública e ficará guardada no site da Google, e a outra será privada e ficará guardada no seu dispositivo.
Sempre que fizer o login na sua conta de email o servidor da Google vai pedir que o seu dispositivo se identifique com essa chave privada (a impressão digital ou o PIN por exemplo) para dessa forma a poder combinar com a chave pública que guardou no seu servidor e garantir assim o seu acesso à conta em questão.
Estas duas chaves são geradas pelo sistema, de forma segura e exclusiva, sendo que a privada irá permanecer no seu dispositivo sem nunca ser vista por ninguém, incluindo o site que depende dela para a autenticação.
Já a chave pública, que ficará no servidor, essa nem precisa ser protegida já que se for apanhada em phishing nunca vai funcionar sozinha sem o seu par. As passkeys tornam-se assim fáceis de utilizar (tão fáceis como o desbloquear do seu telemóvel), mas difíceis de piratear.
Acabar com as passwords no gmail: como criar a sua passkey?
Para poderem usar uma passkey os utilizadores têm de fazer uma espécie de certificação dos seus dispositivos de hardware.
As passkeys para as contas Google podem ser guardadas em qualquer dispositivo a partir do iOS 16 ou Android 9, nos telemóveis, e nos computadores a partir do MacOS Ventura ou Windows 10. Como navegador deverá utilizar pelo menos o Chrome 109, o Safari 16 ou o Edge 109.
A única coisa que terá de fazer é entrar neste endereço g.co/passkeys e validar a sua identidade fazendo o login na sua conta de email de forma habitual. Uma vez aberta a conta, ative a opção “passkey” no ecrã de configuração.
É aí que lhe vai ser pedido para salvar uma opção de passkey (dados biométricos por exemplo) que ficará associada ao dispositivo. A partir dessa altura, sempre que entrar na sua conta a partir nesse dispositivo, essa passkey já estará ativa e, se tiver escolhido o uso da impressão digital, já poderá entrar no seu email por essa via.
A Google garante ainda que um utilizador com vários dispositivos pode partilhar as suas passkeys através de serviços como o iCloud ou aplicações de gestão de passwords.
Também será possível aceder ao email com passkey num dispositivo que não o seu desde que selecione a opção “Utilizar uma passkey de outro dispositivo” no endereço acima mencionado o que vai fazer com que seja gerada uma passkey que funcionará uma só vez.
Apesar do lançamento deste novo sistema de login, a Google vai manter o suporte às passwords convencionais nesta fase que chama de transição. Seja como for o nosso conselho é que mantenha, para já, a sua antiga password em memória, até porque pode ser necessária já que este sistema não é imune ao roubo de dispositivos.
O que pode correr mal com as passkeys?
Até agora as passkeys parecem funcionar realmente melhor no que diz respeito à segurança. Não só parecem reduzir o sucesso das técnicas de phishing como também são mais eficazes na proteção do utilizador quando estão em causa sites falsos que simulam o verdadeiros, como o site de um banco por exemplo.
Uma vez que este par de chaves é exclusivo para cada site, ainda que o seu olhar possa ser enganado o seu dispositivo não o vai ser e irá recusar o login num site falso.
O problema maior é se perder o seu dispositivo ou este for roubado. Usando outro dispositivo com o qual tenha partilhado as suas passkeys poderá aceder à sua conta e, no mesmo endereço, g.co/passkeys e fazendo login com a passkey habitual, poderá remover a senha associada ao seu dispositivo perdido ou roubado, criando outra.
Mas se não tiver nenhum dispositivo associado terá de aceder com a sua password convencional para poder fazer o mesmo, por isso nunca a esqueça. Neste sentido é fácil de perceber que a acabar com as passwords ainda terá muito que se lhe diga.
Uma outra questão mais complexa que que envolve considerações éticas e económicas é que está relacionada com os dados biométricos. Para os mais céticos, mais do que a segurança no login que o sistema de passkey parece garantir, está em jogo a gigantesca base de dados que a Google poderá criar com a recolha de dados provenientes do reconhecimento facial ou da impressão digital das suas contas.
Face às anteriores “fugas” de dados dos seus utilizadores para terceiros e para usos que ainda hoje não conhecemos na totalidade, este pode ser o grande obstáculo a um sistema de logins que possa vir a apoiar-se maioritariamente em passkeys biométricas. Acabar com as passwords é o objetivo, mas ainda há muitas questões a responder.