Chaves de acesso, a alternativa mais segura e fácil de usar às senhas
“Esqueci minha senha , preciso de ajuda, não lembro da minha senha, redefina a senha.” Todos nós já enfrentamos a situação de tentar acessar nosso e-mail, redes sociais ou banco. Embora a recomendação geral seja usar um gerenciador de senhas (ele gera chaves e as armazena com segurança), o usuário médio vive em um loop de criar senhas inseguras e redefini-las quase periodicamente. Para tudo isso, existe uma solução superior: as “ passkeys ” ou chaves de acesso.
Uma chave de acesso é uma credencial digital para autenticação em um site ou aplicativo, sem usar senhas . Em vez de lembrar senhas complexas, o usuário simplesmente usa um método biométrico (como impressão digital ou reconhecimento facial) ou um PIN local em seu dispositivo.
Por exemplo, se um usuário quiser fazer login em sua conta do Google a partir de um navegador, ele pode usar sua impressão digital no telefone para verificar sua identidade, sem precisar digitar uma senha. Isso não é apenas mais conveniente, mas também reduz o risco de invasão devido ao roubo de chaves.
No início deste mês, a Microsoft anunciou que todas as novas contas criadas pelos usuários (seja para Outlook, Office ou qualquer outro serviço que exija login) usarão chaves de acesso por padrão . É uma mudança que outros players como Google e Apple já estão implementando.
Veja o que são, como funcionam , por que são úteis e como ativá-los em um serviço.
Autenticar: Dizer "sou eu" na Internet. Foto: Arquivo
Autenticação é o processo de verificar se um usuário é quem ele afirma ser: quando inserimos nosso nome de usuário e senha em um e-mail, por exemplo, o sistema considera essas informações como confirmação de que nossa identidade está autenticada e nos concede acesso para ler os e-mails.
Embora essa ideia pareça simples, na prática ela é muito mais complexa, pois o roubo de contas é uma constante. Em 2024 , 1,7 bilhão de combinações de nomes de usuário e senhas roubadas foram detectadas circulando em fóruns da dark web, de acordo com dados do FortiGuard Labs (Fortinet). Além disso, outro estudo revelou que 59% das senhas analisadas podem ser quebradas em menos de uma hora. Tudo isso coloca o usuário em risco permanente do que é conhecido como invasão de conta .
“Para fins práticos, chaves físicas ou chaves de acesso são mais seguras e práticas do que uma senha. A afirmação de 'mais seguro' é discutível, pois sempre depende do contexto do usuário, mas, generalizando, provou-se que está correta”, disse Iván Barrera Oro, “HacKan”, desenvolvedor de software especializado em segurança cibernética, ao Clarín.
Por todos esses motivos, a Microsoft implementou essa mudança nas chaves de acesso, que define o ritmo do setor. “Essa mudança não é isolada: a Microsoft e outras organizações assinaram o ' Passkey Pledge ', um compromisso global para impulsionar a adoção de chaves de acesso ao longo do próximo ano. A ideia é caminhar para uma experiência de autenticação mais segura, simples e sem atritos, alinhada aos padrões do setor e aos princípios de segurança por padrão”, disse Marcelo Felman, Diretor de Cibersegurança da Microsoft para a América Latina, ao Clarín.
O Google também permite que você use senhas. Google Fotos
O problema geralmente é que os serviços que usamos não nos dão escolha quando se trata de escolher como fazer login. Mas os grandes players, Microsoft, Apple, Google, Amazon e Meta, já estão fazendo isso.
“Uma chave de acesso é uma maneira mais segura e simples de verificar sua identidade ao fazer login em um aplicativo ou site. Anteriormente, para acessar uma conta, você precisava lembrar e digitar uma senha, algo que só você supostamente sabia. O problema é que, se outra pessoa obtivesse essa informação, poderia se passar por você. As chaves de acesso mudam isso: elas ainda são um "segredo", mas você não precisa memorizá-las. Elas são protegidas pela segurança do seu dispositivo e vinculadas a algo que só você tem, como sua impressão digital, seu rosto ou o PIN que você usa para desbloquear o telefone”, continua Felman.
Por exemplo, em vez de digitar sua senha em um aplicativo bancário, você simplesmente usa o rosto para fazer login, como quando desbloqueia o celular. Dessa forma, ninguém pode roubar sua senha, pois não há uma escrita para adivinhar ou vazar. É uma maneira moderna, mais segura e conveniente de fazer login", explica ele.
Nesse sentido, e lembrando sempre que segurança é um conceito relativo ao uso e não absoluto, as chaves de acesso são consideradas as mais seguras do mercado. Elas não podem ser roubadas ou adivinhadas como uma senha. Se alguém descobrir sua senha, poderá acessar suas contas como se fosse você. As chaves de acesso, por outro lado, são protegidas por algo que não pode ser facilmente copiado ou falsificado, como sua impressão digital, seu rosto ou o PIN que você usa para desbloquear o dispositivo. Ninguém pode se passar por você, a menos que tenha acesso físico ao seu dispositivo e à sua maneira única de desbloqueá-lo. Com as senhas, qualquer pessoa que saiba seu "segredo" pode se passar por você. Com as chaves de acesso, só você pode acessá-las, porque elas estão vinculadas a quem você é e ao dispositivo que você usa", acrescenta.
Vazamentos de chaves estão se tornando mais comuns. Foto Shutterstock
No ambiente atual, é difícil acreditar que as senhas desaparecerão da noite para o dia. Atualmente, a abordagem mais comum é o uso de nome de usuário e senha, com ou sem um segundo fator, seguido pelo login social [ou seja, login usando credenciais do Google, por exemplo]. As chaves de acesso estão gradualmente ganhando espaço. Alguns serviços oferecem login de fator único, enviando um link único e exclusivo por e-mail, o que é uma boa alternativa às senhas. Outros serviços, como o Uber, permitem login sem senha via SMS. Estamos falando de um único fator em ambos os casos, visto que o setor está buscando maneiras de substituir as senhas ", afirma HackAn.
Geralmente é uma boa ideia usar esse método e começar a se afastar das senhas. Geralmente, os serviços não permitem que você escolha como fazer login, mas, se possível, usar um link único e exclusivo por e-mail + uma chave física ou outro segundo fator, além de uma senha, é muito prático e seguro. Senhas são vulneráveis a phishing. Recentemente, foi comprovado que chaves de acesso também são vulneráveis, mas em menor grau. Houve até vulnerabilidades que possibilitaram o phishing de chaves físicas, mas felizmente esses são casos raros", acrescenta HackAn.
“ Chaves físicas ” são frequentemente usadas como um segundo fator de autenticação ao acessar uma conta pessoal, fornecendo uma camada extra de segurança.
Dessa forma, há uma migração da indústria tecnológica em direção às chaves de acesso. “ A transição de senhas para chaves de acesso será gradual, mas constante. A Microsoft já anunciou que todas as novas contas serão sem senha por padrão, usando chaves de acesso como método de autenticação padrão. Ou seja, quem criar uma nova conta não precisará mais definir uma senha: poderá fazer login usando reconhecimento facial, impressão digital ou um PIN seguro, dependendo do dispositivo. Para quem já possui uma conta, a opção de mudar para chaves de acesso já está disponível. Será o método de autenticação recomendado , mas quem preferir continuar usando senhas pode fazê-lo por enquanto”, afirma Felman.
HackAn, no entanto, tem algumas ressalvas: “Acho que é uma boa ideia, embora talvez um pouco precipitada. Chaves de acesso são uma boa ideia como conceito, e senhas são sempre complicadas, então essa abordagem pode ser boa. No entanto, é falso que chaves de acesso sejam invulneráveis e podem nem funcionar em muitos dispositivos. Tenho dificuldade em fazê-las funcionar no meu laptop, por exemplo, então espero que desenvolvam uma implementação adequada que habilite outros métodos de acesso caso a chave de acesso falhe ou não esteja disponível no dispositivo em questão. É positivo avançar em uma direção que nos permita relegar as senhas a segundo plano”, opina.
Felman concorda em um ponto: não existe solução mágica. “Nenhuma mudança tecnológica é isenta de desafios. É por isso que hoje, mais do que nunca, a cultura de segurança cibernética e a resiliência digital se tornaram uma prioridade estratégica. No dia a dia, isso se reflete em coisas tão simples como manter softwares atualizados, escolher métodos de autenticação seguros e, acima de tudo, treinamento. Porque não se trata apenas de implementar novas ferramentas, mas também de apoiá-las com educação, conscientização e hábitos seguros. Só assim podemos construir um ambiente digital mais seguro para todos”, conclui.
O algoritmo RSA é uma das cifras mais utilizadas no mundo. Shutterstock
Embora cada serviço tenha sua própria abordagem, a mecânica geralmente é semelhante e pode ser encontrada nas configurações da conta, na aba "Segurança". Aqui está um exemplo da Microsoft:
- Acesse https://myaccount.microsoft.com e faça login.
- Clique em Segurança > Opções de segurança avançadas.
- Procure a opção Adicionar uma chave de acesso.
- Escolha o método que deseja usar (impressão digital, reconhecimento facial ou PIN).
- Siga as instruções do navegador para registrar a senha no seu dispositivo.
- Pronto: agora você pode usar essa chave de acesso para efetuar login sem senha.
Uma vez criado, é aconselhável testar se ele funciona corretamente para evitar surpresas.
- Saia da sua conta da Microsoft.
- Efetue login novamente em https://account.microsoft.com.
- Escolhi a opção de usar uma chave de acesso em vez de digitar uma senha.
Clarin
