Meu pai me mandou uma mensagem do nada: “Qual a diferença entre senha e passkey?”. Ele havia se deparado com a opção de criar uma passkey em algum site ou aplicativo. Mas a vantagem não estava clara para ele. E não parecia haver urgência. Ele achou que eu saberia o que são passkeys e o que fazer da próxima vez que recebesse um convite para configurá-las. Respondi: “Vamos conversar antes de você fazer qualquer coisa.”
Mensagens como a que meu pai recebeu serão cada vez mais comuns em nossa vida digital. Na verdade, você faz parte do plano mestre da indústria de tecnologia para eliminar senhas com as passkeys.
Sou a favor desse plano, mas não sou tão otimista quanto outros sobre seu tempo de implementação.
Barreiras à adoção
Embora o plano atual se baseie em uma sólida base técnica, muitos detalhes importantes são barreiras à adoção a curto prazo. Por exemplo, configurar uma passkey para um site específico deve ser um processo bastante tranquilo (e às vezes é); no entanto, desativar totalmente essa passkey ainda depende de um processo manual de várias etapas que ainda não foi automatizado.
Para complicar ainda mais as coisas, algumas implementações atuais de passkeys voltadas para o usuário são tão diferentes umas das outras que provavelmente confundirão os usuários finais que procuram uma experiência comum, reconhecível e facilmente repetida (semelhante às caixas de diálogo de ID de usuário e senha).
Enquanto essas e outras barreiras existirem, você terá tempo suficiente para pensar de forma mais holística sobre sua estratégia para a transição para passkeys e, felizmente, tempo para revisões estratégicas. Você pode precisar delas.
Desde 2021, quando a Apple revelou um exemplo do padrão de passkey que desenvolveu junto com outras grandes empresas como Google e Microsoft sob o disfarce da FIDO Alliance, muitos artigos foram escritos sobre os benefícios e a adoção de passkeys – para consumidores e empresas. Em resumo, a ideia principal por trás das passkeys é se livrar das senhas. Por vários motivos – incluindo nosso esquecimento crônico e ignorância das melhores práticas (por exemplo, nunca reutilize a mesma senha em vários sites!) – as senhas são um flagelo e sua eliminação poderia finalmente significar o fim do phishing e do smishing.
Os aficionados por passkeys às vezes se referem aos logins baseados em passkeys como “autenticação sem senha”. Se não houver senhas para fornecer às partes confiáveis, então não haverá senhas para fornecer a atores maliciosos também. Mas, só porque um punhado de sites e aplicativos oferece suporte a passkeys não significa que eles estarão desativando senhas tão cedo. Enquanto IDs de usuário e senhas forem uma forma permitida de autenticação, os hackers obterão sucesso em seus ataques de phishing e smishing.
A magia das passkeys
Independentemente de suas credenciais de login incluírem uma senha ou uma passkey, o processo sempre envolve um segredo. Após 30 anos de senhas sendo hackeadas, contas bancárias sendo esvaziadas, identidades sendo roubadas e uma ampla gama de outros resultados terríveis, a indústria de tecnologia chegou à óbvia conclusão de que somos péssimos em proteger senhas.
Mesmo depois de aplicar curativos – códigos de uso único enviados por mensagem de texto, aplicativos autenticadores e outros chamados fatores de autenticação – as senhas ainda se mostraram falíveis. Em alguns casos, atores maliciosos ainda conseguiram invadir. Em outros casos, usuários legítimos se bloquearam. Como diz o ditado, não se pode colocar batom em um porco.
Os proponentes de passkey falam sobre como as passkeys serão a morte da senha. No entanto, a verdade é que a senha morreu há muito tempo – apenas de uma maneira diferente. Todos nós usamos senhas sem considerar o que está acontecendo nos bastidores. Uma senha é um tipo especial de segredo – um segredo compartilhado ou simétrico.
Para a maioria dos serviços e aplicativos online, definir uma senha exige que primeiro compartilhemos essa senha com a parte confiável, o operador do site ou aplicativo. Embora a história tenha provado como segredos compartilhados podem funcionar bem em contextos muito seguros e muitas vezes temporários (por exemplo, transmissão em túnel de dados criptografados), se o site nos ensina alguma coisa, é que a autenticação de sites e aplicativos não é um desses contextos. As senhas são muito fáceis de serem comprometidas.
Em contraste, uma passkey envolve um segredo que nunca é compartilhado. Esse segredo – a parte da chave privada de um par de chaves pública/privada – sempre permanece com o usuário final e nunca é oferecido à parte confiável. Não é oferecido quando o usuário final estabelece ou redefinir suas credenciais com uma parte confiável ou quando chega a hora de fazer login. Se você sabe algo sobre segurança cibernética e suspeita que a criptografia de chave pública está envolvida, tem bons instintos. O componente técnico da jornada do usuário da passkey é apenas um fluxo de trabalho criptográfico de chave pública padrão.
Para pessoas não técnicas como meu pai, no entanto, a ideia de que você pode fazer login em um site ou aplicativo sem ser solicitado sua senha secreta soa como magia. E se você já experimentou a natureza automática das passkeys – quando elas funcionam como esperado (o que não é sempre) – parece magia mesmo. Meu pai ficou incrédulo quando expliquei a ele. Talvez você também esteja?
Notavelmente ausente da experiência do usuário da passkey é qualquer coisa que pareça visivelmente como uma troca em andamento. É assustadoramente rápido e sem preocupações. Enquanto isso, a ideia de que precisamos de senhas secretas para proteger praticamente tudo (até nossas casas) está tão profundamente enraizada em nossa consciência que sugerir uma alternativa – especialmente algo “sem senha” – é praticamente sacrilégio.
Usuários finais duvidosos
“O mundo tem um problema com senhas. Ninguém parece discordar desse ponto. Passamos os últimos 30 ou 40 anos incutido nas pessoas como as senhas funcionam online. E sim, as partes confiáveis fizeram muito para melhorar a experiência”, disse Hanson ao ZDNET. “Mas nos acostumamos tanto a todos os obstáculos e dores de cabeça com senhas que experimentamos ao longo desses anos que simplesmente fomos derrotados como usuários, essa é a maneira como a internet funciona.”
Hanson está preocupado que o padrão de passkey tenha atingido um momento precário em sua curta história; uma massa crítica de usuários foi exposta à tecnologia sem senha – e até mesmo a experimentou – mas não tem a confiança para deixar seus IDs de usuário e senhas para trás.
“Estamos em um ponto crucial agora”, disse Hanson, observando que os usuários estão equilibrando os riscos externos de hackers assumirem suas contas se permanecerem com suas senhas versus uma suspeita persistente de que mudar para a nova tecnologia pode resultar em bloqueios de conta.
Suas preocupações são justificadas.
Com base em meus próprios testes extensivos de passkeys e outros relatórios preocupantes, os fundamentos da tecnologia são sólidos. No entanto, as experiências de usuário extremamente diferentes construídas sobre elas não podem inspirar a confiança do usuário. Uma publicação recente da Microsoft sugere implicitamente que os benefícios de segurança das passkeys sozinhas não inspirarão a adoção do usuário. Os designers de UX devem se esforçar em “cada pixel” da experiência do usuário.
“[Em seu estado atual], não acho que esteja pronto para certas pessoas com certos conjuntos de habilidades de computador. Não acho que esteja maduro o suficiente por causa de todas as arestas”, disse Hanson. “Dito isso, há um esforço concentrado para pressionar as plataformas e as partes confiáveis.”
Integração e cooperação
Ao se referir a “plataformas e partes confiáveis”, Hanson menciona um fator contribuinte para algumas das arestas mais visíveis da passkey: a experiência completa do usuário da passkey do início ao fim não está necessariamente sob o controle de uma única entidade. No mínimo, essa experiência envolve a integração de três componentes separados:
- A parte confiável (por exemplo, o site ou aplicativo para o qual o usuário está se autenticando).
- O sistema operacional (a “plataforma” mencionada) que está sendo executado no dispositivo do usuário.
- A solução de gerenciamento de credenciais que, entre outras coisas, armazena as passkeys do usuário.
Quando uma única entidade como a Microsoft tem jurisdição sobre todos os três componentes – como pode ser o caso quando um usuário está fazendo login no Microsoft 365 (a parte confiável) de um PC baseado em Windows (a plataforma, que contém um gerenciador de credenciais integrado) – essa entidade também tem controle total sobre a jornada da passkey do início ao fim e o grau em que os três componentes são integrados sem atrito.
Mas quando o usuário faz login em uma conta do Gmail em seu MacBook Pro que, por opção do usuário, usa o Bitwarden para gerenciamento de credenciais, existem essencialmente três mãos independentes no pote de biscoitos. O Gmail do Google é a parte confiável, o MacOS da Apple é a plataforma e o Bitwarden é o gerenciador de credenciais. Nenhum desses três tem controle total sobre a experiência do início ao fim, e todos os três podem ter interesses concorrentes.
Neste cenário e em outros semelhantes, as chances de um resultado positivo para o usuário final são muito diminuídas. Se as arestas forem removidas, será necessária muito mais cooperação entre os diferentes participantes.
Por mais imperfeita que seja a situação atual, o otimista em mim está ansioso por um futuro em que estarei fazendo login em todos os meus sites e aplicativos com passkeys. Tenho certeza de que valerá a pena esperar. Mas sou um caso excepcional. Estou mais disposto a lidar com arestas do que a maioria. Os usuários finais têm uma participação importante no resultado. Mais pressão precisa ser aplicada à indústria em seu nome.
Como Hanson me disse: “É sobre elevar rapidamente todos os barcos porque queremos garantir que a tecnologia não esteja criando um problema de reputação no mercado. Os consumidores esperamos que aceitem. Mas se eles rejeitarem, pode ser muito difícil voltar e ter uma segunda chance.”
