Passkey | O que é o login que dá fim às senhas?

As passkeys apresentaram uma nova forma de autenticação segura em sites e serviços compatíveis com contas do Google e da Apple. As duas gigantes são as principais provedoras deste serviço, pois o método é integrado aos sistemas operacionais iOS e Android.

• 3 apps de cofre para guardar suas senhas com segurança
• 8 dicas para manter a segurança de suas senhas

O diferencial da passkey é a facilidade para logar nos serviços, porque dispensa o uso da combinação login e senha. Recentemente, o Google enviou um e-mail para todos os usuários do Gmail com a recomendação de adotar as passkeys como método de proteção da conta.

Mas você sabe como esse recurso funciona na prática? Há vantagens em usar as passkeys? Entenda o que é o login que dá fim às senhas.

O que é passkey?

Passkey é um método de login projetado para fornecer aos sites e aplicativos uma experiência sem a combinação de nome de usuário e senha. Esse método é considerado uma evolução do modelo original, tanto em termos de conveniência quanto em segurança.

Quando um usuário tenta entrar em um aplicativo ou site, é preciso aprovar o login com a mesma biometria ou PIN usado para desbloquear o celular, computador ou token de segurança. Isso só é possível nos serviços que oferecem suporte a esse mecanismo em vez do nome de usuário e senha tradicionais.

As passkeys são mais resistentes a phishing, porque não podem ser roubadas com técnicas de engenharia social. Elas também são consideradas uma técnica de segurança forte, já que usam biometria individualizada — reconhecimento facial ou impressão digital.

Como funciona uma passkey?

O pesquisador de segurança de computadores do laboratório da ESET na América Latina Mario Micucci explica que é necessário criar um par de chaves, pública e privada, e um autenticador para usar as passkeys.

“O autenticador pode ser dispositivo, navegador ou gerenciador de senhas. A chave pública é enviada para o servidor web da conta para ser armazenada, enquanto a chave privada é salva de forma segura no autenticador”, detalha.

Quando o usuário tenta fazer login com, o servidor envia uma espécie de "desafio" para o autenticador, que usa a chave privada para solucioná-lo e enviar a resposta de volta para verificar a identidade do usuário. “O servidor não precisa acessar a chave privada do usuário, tornando o processo seguro e sem transmitir informações confidenciais”, explica Micucci.

Por fim, o especialista ressalta a importância de manter mais de um método de verificação. “A adoção da Autenticação de Fator Duplo (2FA) ou Múltiplo Fator (MFA) é a melhor opção. As passkeys, combinadas com outro tipo de segurança, podem garantir uma maior proteção”, conclui o especialista da ESET.

Quem inventou o passkey?

As passkeys foram criadas com base em padrões e protocolos da aliança Fast IDentity Online (FIDO Alliance) e do grupo de trabalho da W3C, que desenvolve o WebAuthn. O modelo teve o apoio de grandes empresas, especialmente o Google e a Apple — a primeira aderir no iOS.

Como a linguagem é universal, existe suporte para rodar o sistema de proteção em todas as plataformas e navegadores compatíveis com esses padrões. Não há um dono do formato, porque ele é aberto, então qualquer desenvolvedor pode trabalhar com as passkeys.

A FIDO Alliance tem mais de 250 membros, incluindo empresas líderes globais nos setores de tecnologia, pagamentos, telecomunicações, governo e saúde. Essa união de especialistas atua em diversas frentes para criar sistemas de proteção rápidos e mais seguros para a internet global.

Já o WebAuthn é um padrão da Web publicado pelo World Wide Web Consortium (W3C). Trata-se de um componente central do Projeto FIDO2, cujo objetivo é padronizar uma interface para autenticação de usuários em aplicativos e serviços baseados na Web com criptografia de chave pública.

Quais as vantagens das passkeys?

Em um comparativo entre passkey e senhas convencionais, é possível notar porque a primeira é um método melhor. Trata-se de um sistema muito mais seguro, sem depender de credenciais escritas, além de ser muito mais difícil de ser hackeada.

Uma passkey usa reconhecimento facial ou impressão digital na tela para identificar uma pessoa. Isso significa que mesmo pessoas próximas a você, como filho, cônjuge ou irmão não conseguem logar na sua conta mesmo que conheçam suas senhas.

Já as senhas convencionais estão sujeitas a problemas como:

• Vazamento: não pode revelar os dados para ninguém e bandidos conseguem descobrir usando técnicas de força bruta;
• Memória: é difícil criar combinações fortes para centenas de sites usados, então as pessoas acabam repetindo as mesmas combinações;
• Acesso indevido: como a combinação usa nome de usuário e senha, é muito mais fácil para gente não autorizada entrar sem autorização na sua conta.

Além disso, uma passkey transforma celular, PC ou tablet em uma chave-mestra para desbloquear o login. Então, você até pode acessar sites e apps de outros dispositivos, mas vai precisar confirmar a entrada. O PayPal é um exemplo de app que utiliza esse método para proteger seus clientes.

O lado ruim é que você não pode ficar sem bateria ou internet no celular, caso contrário terá a entrada barrada. Certifique-se de ter sempre uma carregador portátil ou um cabo USB por perto para não ficar na mão.

A sincronização de passkey oferece conveniência e um sistema de backup em caso de perda do dispositivo principal. No entanto, é importante manter sua senha em dia para conseguir recuperar a passkey do celular perdido.

A dica mais importante é somente ativar as passkeys se você se sentir confortável para usá-la. Se ainda tiver dúvida ou preferir o modelo antigo, siga com a autenticação de dois fatores e tome cuidado com os espertinhos da internet.