O que é uma "passkey"?
- Glossário do IAM
- O que é uma "passkey"?
Uma "chave de acesso" é um método moderno de autenticação sem senha que utiliza criptografia de chave pública. Em vez de uma senha, os usuários se autenticam com um par de chaves criptográficas: uma chave pública armazenada pelo serviço e uma chave privada armazenada com segurança no dispositivo do usuário ou em um gerenciador de senhas.
A autenticação ao utilizar chaves de acesso normalmente envolve biometria (como impressão digital ou reconhecimento facial), um PIN ou um padrão de deslize, semelhante ao desbloqueio de um smartphone. A maioria dos usuários escolherá biometria por conveniência.
Como as chaves de acesso funcionam?
As chaves de acesso funcionam utilizando criptografia de chave pública para permitir que você faça login em sites e aplicativos sem precisar digitar uma senha tradicional. Aqui está como elas funcionam, passo a passo:
1. Configurando uma chave de acesso
- O usuário faz login em sua conta como de costume.
- Nas configurações de segurança, eles habilitam a opção de chave de acesso.
- O aplicativo ou site solicita que o usuário salve uma chave de acesso vinculada ao dispositivo dele.
- Se estiver utilizando um gerenciador de senhas, ele solicitará que o usuário gere e armazene uma chave de acesso.
- A autenticação biométrica (por exemplo, Face ID, impressão digital) é solicitada para confirmar a configuração.
- A chave de acesso é armazenada com segurança no dispositivo ou no gerenciador de senhas.
2. Conectando-se com uma chave de acesso
- Durante os logins subsequentes, o usuário é solicitado a autenticar-se usando sua chave de acesso armazenada.
- Não é necessária senha, apenas a chave de acesso.
3. Autenticação entre dispositivos
- Se o usuário tentar fazer login em um dispositivo sem a chave de acesso, ele poderá autenticar-se usando outro dispositivo.
- O navegador pode exibir um código QR para escanear com um dispositivo móvel para concluir o login.
- O Bluetooth é frequentemente usado para garantir proximidade e segurança durante a autenticação entre dispositivos.
- Se estiver usando um gerenciador de senhas, a chave de acesso poderá ser acessada e utilizada em vários dispositivos.
Chaves de acesso vs senhas: Qual é a diferença?
À medida que organizações e plataformas adotam chaves de acesso, é importante entender como elas diferem das senhas tradicionais e por que representam um avanço significativo na segurança digital e na experiência do usuário.
Aqui estão as principais diferenças entre chaves de acesso e senhas:
Processo de criação
As senhas exigem que os usuários criem e memorizem manualmente credenciais fortes e únicas, o que pode ser desafiador. As chaves de acesso, no entanto, são geradas automaticamente, o que significa que os usuários não precisam se preocupar em criar ou memorizar nada. Após a configuração, eles podem facilmente fazer login usando o dispositivo ou o gerenciador de senhas.
Resistência a phishing
As senhas são vulneráveis ao phishing porque os usuários as inserem manualmente, tornando-as suscetíveis a sites falsos. Por outro lado, as chaves de acesso são resistentes ao phishing. Como não há nada para inserir, os cibercriminosos não podem roubar detalhes de login por meio de ataques de phishing.
Risco de comprometimento
As senhas são facilmente comprometidas, especialmente se os usuários as reutilizarem ou escolherem senhas fracas. Se uma senha for divulgada, ela pode ser usada imediatamente por um cibercriminoso. As chaves de acesso, no entanto, são mais seguras. A chave privada nunca é armazenada no servidor; portanto, mesmo que o servidor seja comprometido, a chave pública sozinha é inútil sem a chave privada.
Suporte do site
Embora as senhas sejam universalmente aceitas, as chaves de acesso ainda estão sendo adotadas. Sites importantes como Apple, Google e PayPal agora oferecem suporte a elas, mas muitos sites ainda dependem de senhas. Para ver quais sites oferecem suporte a chaves de acesso, consulte o Diretório de chaves de acesso do Keeper.
| Passkey | Senha |
|---|---|
| Gerado automaticamente | Gerado pelo usuário |
| Resistente a phishing | Susceptível a ameaças de phishing |
| Não pode ser facilmente comprometido | Facilmente comprometidas se forem fracas |
| Com suporte em um número limitado de sites atualmente | Compatível com todos os websites |
Benefícios do uso de passkeys
As chaves de acesso oferecem várias vantagens, proporcionando uma maneira mais segura e fluida de autenticar online.
Segurança mais robusta
A maioria das pessoas tem dificuldade com a gestão de senhas, frequentemente escolhendo senhas curtas e fáceis de adivinhar, reutilizando senhas em diferentes sites ou armazenando-as de forma insegura. As chaves de acesso resolvem esse problema por serem geradas automaticamente e serem exclusivas para cada conta.
Além disso, as chaves de acesso utilizam criptografia de chave pública. Uma chave privada é armazenada de forma segura no dispositivo do usuário ou em um gerenciador de senhas, enquanto a chave pública é armazenada pelo serviço. Ao fazer login, a chave privada comprova a sua identidade sem ser compartilhada. Isso significa que, mesmo que o servidor seja comprometido, os cibercriminosos obtêm apenas a chave pública, que é inútil sem a chave privada, tornando as chaves de acesso muito mais seguras do que as credenciais tradicionais.
Autenticação de Dois Fatores Integrada (2FA)
Ao contrário das senhas, que muitos usuários não conseguem proteger com 2FA, as chaves de acesso são protegidas por ela de forma inerente. Para usar uma chave de acesso, você precisa de algo que você possui (seu dispositivo autenticador) e algo que você é (autenticação biométrica). Este 2FA integrado torna as chaves de acesso mais seguras do que as senhas tradicionais, que frequentemente carecem de proteção adicional.
Resistente a phishing
Um dos principais benefícios das chaves de acesso é a sua resistência ao phishing. Como as chaves de acesso não exigem que os usuários digitem suas informações de login manualmente, os cibercriminosos não podem induzi-los a inserir suas credenciais em um site fraudulento. Isso significa que as chaves de acesso não podem ser roubadas por meio de ataques de phishing – ao contrário das senhas, que geralmente são alvo.
Desvantagens e limitações
Embora as chaves de acesso ofereçam muitas vantagens, ainda há algumas limitações:
O suporte ao site permanece incompleto
Apesar da adoção acelerada, as chaves de acesso ainda não têm suporte universal. Muitos sites e aplicativos menores ou legados ainda dependem de senhas, o que significa que os usuários frequentemente precisam gerenciar ambos os sistemas em paralelo. De acordo com a FIDO Alliance, cerca de 48% dos 100 principais sites agora suportam chaves de acesso, destacando um forte impulso, mas não uma cobertura completa.
Ainda existe dependência do dispositivo
As chaves de acesso geralmente estão associadas a dispositivos ou ecossistemas específicos. Se um usuário perder o acesso a um dispositivo, ele poderá enfrentar dificuldades para acessar contas, a menos que as chaves de acesso sejam sincronizadas ou transferidas. Uma maneira de evitar isso é armazenar as chaves de acesso em um gerenciador de senhas como o Keeper.
A adoção nos serviços está em andamento
Embora o impulso seja forte, a maioria das pessoas ainda utiliza senhas como método padrão de login. Os usuários devem continuar a usar um gerenciador de senhas ou uma estratégia de backup no futuro próximo, já que a transição para um mundo sem senhas ainda está em andamento.
O Futuro das chaves de acesso
Embora as chaves de acesso tenham o potencial de substituir as senhas, elas não eliminarão a necessidade de gerenciadores de senhas. Na verdade, eles podem torná-los ainda mais importantes.
Isso ocorre porque as passkeys estão vinculadas a um autenticador, que pode ser um dos seguintes:
- Um dispositivo, como um smartphone, tablet ou laptop
- Um gerenciador de senhas que suporta chaves de acesso
À primeira vista, usar um smartphone como seu principal autenticador parece conveniente – afinal, a maioria das pessoas leva seus telefones para todos os lugares. No entanto, na realidade, depender exclusivamente de um único dispositivo pode se tornar inconveniente, especialmente para usuários que alternam entre vários dispositivos.
Por exemplo, se você tentar fazer login em um laptop ou tablet sem o seu telefone por perto, você precisará:
- Gerar um código QR no dispositivo que você está utilizando
- Escaneá-lo com o seu smartphone (o autenticador)
- Confirme sua identidade usando biometria como Face ID ou impressão digital
Esse atrito adicional destaca os benefícios de usar um gerenciador de senhas que suporta a sincronização de chaves de acesso entre dispositivos. O Keeper, que oferece suporte a chaves de acesso há vários anos, simplifica o processo de login vinculando as chaves de acesso ao aplicativo, em vez de depender apenas de um dispositivo físico. Essa abordagem torna o acesso a contas em vários dispositivos muito mais fácil e mais integrado.
