GitHub lança sistema de passkeys para autenticação sem senha

O GitHub está lançando nesta quarta-feira (12) seu sistema de autenticação sem senha, com a utilização de passkeys. O recurso fica disponível aos desenvolvedores em versão Beta pública e promete trazer mais segurança às contas, com o uso de chaves de criptografia e diferentes fatores de autenticação que vão além dos logins tradicionais.

• 6 linguagens de programação que favorecem o desenvolvimento de ambientes seguros
• Por que as empresas devem prestar atenção ao desenvolvimento seguro de softwares

A proposta do GitHub é inspirada pelo ideal de erradicar completamente os comprometimentos de contas a partir do roubo ou vazamento de credenciais de acesso, que hoje correspondem a mais de 80% das violações de segurança. O uso de autenticação em duas etapas já foi um passo adiante nesse quesito, com a iniciativa de agora, com passkeys, levando esse propósito ainda mais além.

O recurso pode ser ativado a partir do painel de configurações da plataforma de desenvolvimento, na função “Feature preview”. Uma vez habilitado, o GitHub passa a possibilitar o login com o uso de passkeys já configurada no navegador ou o cadastro de novas, de acordo com a necessidade de uso. Segundo a empresa, todos poderão realizar o acesso usando essa forma de autenticação, enquanto a verificação em duas etapas também segue funcionando.

Com funcionamento similar ao das chaves de segurança física, as passkeys utilizam elementos vinculados ao usuário e também chaves de criptografia para funcionar. O GitHub associa, como exemplo, uma verificação biométrica através de impressão digital ou reconhecimento facial ao uso de um dispositivo específico, como um computador. Quando as combinações corretas são feitas, o acesso é liberado sem a necessidade de inserir senhas de acesso.

A plataforma de desenvolvimento também se apoia no suporte de navegadores às passkeys, com os principais browsers do mercado já contando com o sistema e sugerindo o seu uso em serviços compatíveis. “[O recurso] mantém nosso ideal de não comprometer a experiência do usuário, enquanto aproxima as pessoas da perspectiva da autenticação sem senha e ajuda a erradicar completamente as violações [de credenciais], além dos bloqueios de conta devido à perda de dispositivos”, explica Hirsch Singhal, gerente de produtos do GitHub.

Passkeys em mais de um dispositivo também funcionam no GitHub

A tecnologia também visa reduzir os riscos de os usuários acabarem trancados para fora de suas contas caso percam as chaves de acesso ou dispositivos originais. Em um recurso batizado de Cross-Device Authentication, o GitHub permite que um celular ou tablet seja usado para liberar o acesso no computador, por exemplo, a partir da digitalização de um QR Code.

Como forma de evitar ataques de engenharia social, é preciso que os dispositivos estejam próximos, conforme explica Singhal. Além disso, também é possível configurar diferentes passkeys em vários dispositivos, com a autenticação sendo sincronizada de forma automática em todos eles, o que inclui também aparelhos de diferentes sistemas operacionais ou formados, assim como aplicativos gerenciadores de senhas.

O GitHub também vai permitir a configuração de modelos de risco, com escolhas individuais de sincronização e acesso para diferentes passkeys, de acordo também com o tipo de verificação disponível em cada dispositivo. Usuários de aparelhos que possuam biometria ou outros recursos de verificação de identidade, por exemplo, também receberão a opção de uso deste método, como forma de incentivar uma maior proteção às contas e perfis de usuário.