Teremos um futuro sem senhas? Informações importantes sobre a autenticação baseada na FIDO
Usamos senhas em tudo o que fazemos online. No entanto, ironicamente, elas não são tão eficientes quanto parecem para realizar sua única função — que é proteger as nossas contas para permitir acesso somente a pessoas de nossa confiança. Por quê? Bem, a experiência do usuário com senhas é péssima; portanto, as pessoas preferem usar e reutilizar senhas bastante simples e suscetíveis a hacks.
Gerenciadores de senhas ajudam a solucionar problemas como esses (aliás, se você ainda não usa um, está na hora), mas o grande objetivo mesmo é encontrar uma solução ainda melhor.
Desde 2015, A FIDO ("Fast IDentity Online") Alliance (sigla de Aliança para Identificação Rápida Online) desenvolve padrões e tecnologias para permitir uma experiência de autenticação universal, sem o uso de senhas, resistente a ações de phishing e sem precisar de software ou hardware personalizado. Será que chegou a solução que aguardávamos há tanto tempo?
O que tínhamos até agora
Influenciado pelo projeto da FIDO, em 2019 o World Wide Web Consortium (W3C) passou a recomendar um protocolo chamado WebAuthn, abrindo o caminho para a autenticação sem o uso de senhas. Como resultado, todo navegador moderno agora é compatível com uma autenticação baseada na FIDO, seja usando um autenticador incorporado no próprio sistema ou um hardware de autenticador, como um YubiKey.
Essa forma de autenticação existe há bastante tempo, apesar de ter alguns aspectos inconvenientes. Por exemplo, as chaves são armazenadas localmente, seja em uma chave de hardware (como um YubiKey) ou como parte do sistema (como o recurso de TouchID em MacBooks ou o Windows Hello no Windows). E também não há uma maneira uniforme de o método funcionar em todas as plataformas. Enquanto YubiKeys podem ser usadas em diversas plataformas, os autenticadores incorporados nos próprios sistemas não podem.
O que mudou em 2022
Em março de 2022, a FIDO lançou um documento técnico contendo algumas informações em primeira mão sobre o que as três maiores empresas de plataforma — Apple, Microsoft e Google — pretendem fazer para implementar a autenticação sem o uso de senhas para milhões de pessoas. No Dia Mundial da Senha (5 de maio), finalmente descobrimos.
A FIDO e essas três gigantes apresentarão três novas ideias para solucionar a questão da multiplataforma que impede uma adoção maior da autenticação baseada na FIDO:
- Vincular o dispositivo desktop/laptop ao dispositivo móvel pelo Bluetooth. O dispositivo móvel passa a ser o principal autenticador FIDO, não importa se você usa um dispositivo móvel da Apple ou Android, tampouco a combinação de navegador/desktop. Este método possivelmente irá solucionar os problemas de autenticação entre plataformas. Por exemplo, você poderá usar um iPhone para fazer login em seu dispositivo Windows.
- Criar uma experiência de navegação uniforme que permita se cadastrar e fazer login em sites por meio dos fluxos WebAuthn existentes.
- Armazene as chaves privadas da WebAuthn (agora chamadas de passkeys) na nuvem, com base na conta do dispositivo móvel do usuário (p. ex., uma conta no iCloud Keychain ou Google).
É uma solução perfeita?
As mudanças propostas pela FIDO são um bom passo em direção a um futuro sem senhas, mas elas também geram algumas dúvidas que ainda precisam ser solucionadas.
Quem possui as chaves?
Uma das principais questões é quem realmente possui e controla suas chaves privadas: Apple, Google ou Microsoft? Não é todo mundo que quer fornecer informações de login para essas empresas.
Enquanto as chaves ficam armazenadas em uma área de nuvem segura, sua conta Apple, Google ou Microsoft é o principal ponto de acesso. Se você de repente não conseguir mais entrar na sua conta, essas plataformas fornecerão métodos de recuperação de acesso? Você conseguirá recuperar o acesso às suas chaves privadas? Os usuários confiarão na privacidade e segurança dessas plataformas? Eles irão aceitar o 'aprisionamento tecnológico' às plataformas e ecossistema?
Ao escolher um provedor de identidade (IdP), seja ele uma empresa Big Tech ou uma organização independente, é importante ter cuidado e descobrir se o provedor pode, tecnicamente, acessar suas informações privadas ou não. A Dashlane, por exemplo, é feita com arquitetura de conhecimento-zero; portanto, somente você tem acesso aos seus dados — um grande motivo de tranquilidade e confiança para os nossos usuários, pois eles têm certeza de que sua privacidade e segurança estão protegidas.
O atual plano da FIDO parece não oferecer uma escolha para o usuário: as únicas opções disponíveis são as três plataformas dominantes, porque são elas que controlam os padrões, o hardware e o software que fazem a solução funcionar.
Como sites podem se tornar compatíveis com a autenticação da FIDO?
Para sites que permitem que seus usuários façam a autenticação com uma senha, o processo de implementação é bastante simples. Entretanto, a autenticação da FIDO exige uma configuração muito mais complexa para os sites. Acreditamos que muitas grandes empresas de tecnologia irão adotar essa forma de autenticação por terem capital suficiente para dedicar uma equipe de engenheiros ao processo, mas muitos sites menores não têm esse tipo de disponibilidade e recursos.
Esperamos que, com o tempo, o custo para os sites diminua conforme a adoção aumenta e mais ferramentas entram no mercado. Esperamos também que, por ora, as pessoas usem uma mistura de passkeys e senhas.
Como posso compartilhar acesso?
As empresas usam e dependem de métodos seguros para compartilhar credenciais entre seus funcionários. Com senhas, é fácil compartilhar o acesso a uma conta (p. ex., a senha do Twitter para diversos funcionários do departamento de marketing). Acreditamos que, para a adoção dessa nova ferramenta ser bem-sucedida, será muito importante utilizar um recurso de compartilhamento de passkeys — e gerenciadores de senhas são perfeitos para tal.
Como migrar de um sistema operacional para outro?
É possível usar essa tecnologia em Android ou iOS, mas ainda não sabemos o que acontece se você quiser mudar de um para o outro. A Apple permitirá a transferência de suas chaves para o Google (Android)? Essa é uma preocupação da Dashlane. Por mais promissora que seja essa tecnologia, acreditamos que os usuários não vão querer ficar presos em uma plataforma (o 'aprisionamento tecnológico') para obter benefícios.
E agora?
Já vimos muitas promessas de um futuro sem senhas, mas ainda não sabemos quando isso realmente vai acontecer. A novidade parece interessante, e até mesmo viável — mas ainda restam muitas dúvidas que precisam ser sanadas.
Para que um futuro sem o uso de senhas seja realmente algo viável, precisamos de padrões transparentes; ou seja, eles não podem ser controlados apenas pelas plataformas dominantes. Outra grande preocupação é se os consumidores serão obrigados a armazenar suas passkeys em uma das grandes plataformas, em vez de poder decidir quem controla sua segurança e privacidade. As escolhas do consumidor serão muito importantes para a adoção, e um ecossistema aberto resultará em uma maior inovação tecnológica—e isso gera uma experiência mais segura, abrangente e focada no usuário.
Sign up to receive news and updates about Dashlane
Thanks! You're subscribed. Be on the lookout for updates straight to your inbox.
