Você já se sentiu frustrado com a infinidade de senhas que precisa lembrar? Imagine um futuro sem senhas, onde o acesso a seus aplicativos e sites seja simples e seguro. Esse futuro está mais próximo do que você imagina, graças às passkeys. Mas será que entendemos completamente como elas funcionam?
Muitas informações erradas circulam sobre passkeys. Vamos desmistificar esse método de autenticação e entender por que ele é uma solução promissora para acabar com a era das senhas inseguras.
O estrago causado pelas senhas
Por décadas, as senhas foram o calcanhar de Aquiles da tecnologia. A maioria dos problemas de segurança – contas comprometidas, roubo de identidade, vazamento de informações pessoais e roubo de fundos – envolve senhas comprometidas.
Em muitos casos, as senhas são compartilhadas sem o conhecimento do usuário, frequentemente por meio de phishing (e-mails) e smishing (mensagens de texto). Essas técnicas enganam os usuários, levando-os a inserir suas credenciais em sites falsos.
Senhas e passkeys são similares em um aspecto: ambas envolvem um segredo. A maior diferença está em como esse segredo é tratado. Com senhas, é um segredo compartilhado.
Com senhas, você sempre compartilha seu segredo com o operador do site ou aplicativo. Isso acontece ao criar ou redefinir a senha, e novamente ao fazer login.
Phishers e smishers dependem totalmente desse princípio do segredo compartilhado. Seu objetivo é obter seu segredo.
Em contraste, com passkeys, o segredo nunca é compartilhado com o serviço. Ao fazer login, você nunca precisa compartilhar seu segredo.
O princípio da passkey
Passkeys são baseadas em criptografia de chave pública. Dois tipos de chave são usados: uma pública, que pode ser compartilhada, e outra privada, que deve ser mantida em segredo.
O par de chaves pública/privada forma a base de uma passkey. A chave pública é enviada ao site ou aplicativo, enquanto a chave privada permanece no seu dispositivo.
A beleza do par de chaves pública/privada é que qualquer informação criptografada com a chave pública só pode ser descriptografada com a chave privada, e vice-versa.
Com passkeys, seu dispositivo gera o par de chaves. A chave pública é enviada ao site ou aplicativo, enquanto a chave privada fica no seu dispositivo. Essa chave privada nunca é compartilhada.
Senhas vs. Passkeys: Uma comparação
- Senhas: Segredo compartilhado, vulnerável a roubo.
- Passkeys: Segredo mantido no seu dispositivo, virtualmente imune a roubos.
- Senhas: String de caracteres escolhida pelo usuário.
- Passkeys: Par de chaves criptográficas geradas pelo sistema.
- Senhas: Usuário escolhe como armazenar a senha.
- Passkeys: A chave privada é armazenada de forma segura, mesmo o usuário não pode acessá-la diretamente.
Como as passkeys funcionam
Após receber a chave pública, o site a salva. Ao fazer login, o site usa a chave pública para criptografar um código aleatório (“o desafio”). Seu dispositivo usa a chave privada para descriptografar a mensagem, re-criptografá-la e enviá-la de volta. Se houver uma correspondência, você está autenticado.
Isso impede phishing porque, após registrar uma passkey, você nunca mais precisa fornecer sua senha ao site legítimo. Se um site solicitar sua senha, desconfie.
Mesmo que um site malicioso obtenha sua chave pública, você não compartilha suas credenciais de forma reutilizável.
As passkeys têm um longo caminho a percorrer. Mas sua adoção é essencial para acabar com o problema de segurança das senhas. A precisão na informação sobre passkeys é crucial para impulsionar sua adoção.
Compartilhe suas experiências com passkeys! Deixe seu comentário abaixo.
Fonte: ZDNet
