O que é uma passkey e como ela funciona?
As soluções de cibersegurança estão em evolução constante, e as passkeys são um passo bastante importante na proteção das contas e informações de bilhões de pessoas. Aqui, vamos entender melhor o que elas são, como funcionam e quais os benefícios que elas oferecem em termos de segurança digital.
Índice
Índice
O que são passkeys?
Passkey: definição
Passkeys são métodos de autenticação usados para acessar qualquer tipo de conta ou informação online. Elas usam um tipo de tecnologia chamada de WebAuthn, que usa criptografia de chave pública para verificar a identidade dos usuários toda vez que eles realizam login em alguma conta.
O WehAuthn (Web Authentication) é um padrão web publicado pelo World Wide Web Consortium (W3C) e faz parte do FIDO2 Project. Lançada em 2016, a tecnologia tem como objetivo criar uma interface padronizada para realizar a autenticação de usuários em aplicações web e serviços que utilizam tecnologia de chaves públicas de criptografia. As credenciais do WebAuthn (que também são credenciais da FIDO) são chamadas de passkeys.
O suporte para WebAuthn pode ser implementado de várias formas, principalmente por operações criptográficas executadas por autenticadores. A autenticação web é bastante resistente a ataques de phishing.
Como as passkeys funcionam?
As passkeys funcionam da seguinte forma: quando você faz login em alguma aplicação web, o é preciso aprovar o novo acesso de um novo dispositivo, mas não há a necessidade de digitar um nome de usuário ou senhas. Aplicativos e websites com passkey só exigem o log in.
Assim, o sistema te permite salvar uma passkey no seu dispositivo ou criar uma nova passkey sempre que você conectar uma conta em um dispositivo. É um processo bastante simples, conveniente e prático, capaz de integrar vários websites e apps, independente da quantidade de contas que você tiver.
As diferenças entre passkey e senhas normais
Passkeys e senhas são coisas bastante diferentes, do modo como elas são criadas ao jeito como são usados em websites e o nível de segurança que cada uma oferece. As senhas são geradas e criadas pelos usuários ou por geradores de senhas aleatórias e únicas, e as passkeys são geradas de forma automática através de criptografia de chaves públicas.
Um equívoco muito comum é pensar que senhas são exigidas para se usar passkeys, o que não é verdade. Quando as pessoas pensam em passkeys protegidas por senhas, elas pensam em gerenciadores de senhas. Software de gerenciamento como o gerenciador de senhas NordPass permitem aos usuários armazenar e recuperar credenciais.
As passkeys, por outro lado, são sempre geradas de forma automática cada vez que são usadas, além de serem alteradas sempre que são criadas.
Aqui está um quadro com as principais diferenças entre senhas e passkeys:
Passkeys geradas automaticamente são mais seguras, já que não são suscetíveis a erros dos usuários. As pessoas podem cometer erros de digitação, esquecer das senhas ou das respostas para as perguntas secretas. Como as passkeys são geradas de forma única e compartilhadas entre os dispositivos, elas são muito mais resistentes contra os ataques de crackers.
Passkeys | Senhas | |
---|---|---|
Como os detalhes de autenticação são gerados | São gerados de forma automática, através de criptografia de chave pública, praticamente impossível de quebrar. | São gerados pelos usuários, o que aumenta a vulnerabilidade a ataques de engenharia social e outros ciberataques com foco em erros dos usuários. |
Como o acesso é controlado em cada login novo | Uma chave criptográfica única é gerada para cada acesso. | A senha, os códigos e as credenciais precisam ser inseridos sempre que houver um acesso. |
Prováveis riscos de segurança | É resistente à maioria dos ataques mais comuns, como phishing e keylogging. | Pode sofrer ataques de múltiplos tipos, mesmo dos tipos mais simples (como os ataques de força bruta). |
Passos envolvidos na autenticação de identidade dos usuários | Verificação de dois fatores (verificação de identidade e de chave privada). | Verificação de múltiplas etapas (considerando a autenticação de multifatores). |
Eficiência do processo | Fluxo simples depois de sincronizar e autenticar a conta no dispositivo. | Pode exigir vários passos para configurar sempre que houver acessos a um novo dispositivo ou a uma nova conta. |
Conveniência para os usuários | Muito conveniente, não exige inserir senhas. | Complicado, já que muitas senhas e outros verificadores de segurança precisam ser memorizados. |
Quais serviços, plataformas e tecnologias têm integração com passkeys?
Então, onde as passkeys são usadas? Muitas empresas como Google, Microsoft e Apple já expandem o suporte às passkeys em seus websites, aplicativos e dispositivos. Há várias empresas e organizações que implementam o recurso de passkeys.
Alguns exemplos de serviços e aplicativos compatíveis com passkeys:
- PayPal (só o aplicativo)
- Shop, da Shopify
- Instacart
- KAYAK
- Robinhood
- Adobe
- Tailscale
Se uma empresa fizer parte da FIDO Alliance (Fast IDentity Online, ou ‘’identidade online rápida’’), então é muito provável que ela utilize passkeys de alguma forma. A FIDO Alliance inclui alguns dos maiores nomes da tecnologia, o que significa que há grandes chances de que seu navegador web ou seu website favorito comecem a usar passkeys em breve.
Usos de uma passkey
No geral, há dois componentes essenciais para usar passkeys:
- Um dispositivo para criar, criptografar e armazenar a passkey.
- As credenciais de login usadas para aprovar a passkey, como uma Face ID ou um código de um dispositivo local, como um PIN.
Você pode usá-las para:
- Incrementar a segurança das suas contas, oferecendo uma forma adicional de acesso às suas contas.
- Restringir o acesso apenas através do uso de passkeys, limitando possibilidades de ataques e estratégias de by-pass dos mecanismos de autenticação da sua conta.
- Unificar a segurança das suas contas através de um dispositivo selecionado, usado para fornecer as passkeys.
Ao invés de precisar fornecer nomes de usuário e senhas ou usar outros recursos de autenticação, como a MFA, é só digitar um número PIN, usar as digitais ou ID facial usados para acessar o dispositivo selecionado para gerar as passkeys. As passkeys armazenadas no seu dispositivo ficam sincronizadas com o nome da sua conta e os detalhes dela, e sempre que houver um novo acesso uma passkey nova será gerada.
Outro método envolve o uso de QR codes, que são usados por aplicativos de mensagens como o Vibe. Ao fazer o acesso em um computador com uma passkey pela primeira vez, um QR code aparece e, para fazer log in, é necessário escanear o QR code com a câmera do seu dispositivo. Caso o usuário acesse novamente a conta através do mesmo computador com o mesmo dispositivo móvel, não há a necessidade de repetir o processo de leitura do QR code.
Os benefícios das passkeys
Usar passkeys pode ser extremamente eficiente para garantir a proteção contra certos tipos de fraudes como ataques de phishing, ataques de força bruta e keyloggers. Como seu dispositivo entende qual navegador ou website está conectado a uma passkey específica, é muito pouco provável que ele seja induzido por websites falsos ou domínios falsos.
Os sistemas que as passkeys usam são muito resistentes contra ciberataques. Cada passkey é criada de forma única e é conectada a cada conta que você tem. As chaves são aleatórias, geradas de forma segura pela criptografia entre seus dispositivos, então elas são únicas a cada novo acesso.
As passkeys oferecem três soluções específicas que as senhas convencionais normalmente não garantem:
- Conveniência: você não precisa se lembrar das suas credenciais de login depois de sincronizar seus dispositivos.
- Controle da conta: você tem um dispositivo central que pode usar para fazer as autenticações, o que dá mais controle sobre suas contas.
- Criptografia avançada: passkeys não podem ser crackeadas por ciberataques convencionais.
Além destes pontos, as passkeys são mais seguras porque reduzem os riscos associados aos erros humanos. Você não precisa se lembrar da sua senha para acessar e controlar suas contas.
Pontos negativos das passkeys
Usar passkeys oferece muitos benefícios, mas este não é um recurso perfeito. Um dos maiores desafios e pontos negativos das passkeys é o transtorno causado pela perda do dispositivo usado para gerenciá-las. Contudo, mesmo que seu dispositivo de autenticação seja roubado, perdido, danificado, furtado ou extraviado, um cibercriminoso vai precisar destravar o aparelho para ganhar acesso a ele.
Estes são alguns principais pontos negativos das passkeys:
- Desigualdade: as passkeys são vinculadas a dispositivos individuais, o que representa um desafio para pessoas sem acesso a dispositivos móveis (como smartphones ou laptops) e que dependem de dispositivos compartilhados (como computadores usados em lan houses e bibliotecas públicas, por exemplo). Isto representa uma limitação em termos de possibilidade de uso das passkeys.
- Problemas com backup: alterar entre ecossistemas diferentes como dispositivos iPhone e Android, por exemplo, é algo bastante problemático para o uso de passkeys. Cada ecossistema possui seus próprios sistemas de armazenamento e gerenciamento de senhas, o que impede a transferência de passkeys diretamente de um sistema para o outro.
- Problemas de compatibilidade: muitos websites não adotam passkeys, o que significa que o uso de senhas tradicionais ainda é algo necessário. Além disto, a compatibilidade de passkeys é limitada a dispositivos mais atuais, o que faz com que aparelhos e sistemas mais antigos fiquem de fora. Muitos usuários ainda precisam recorrer às senhas tradicionais, já que seus aparelhos e sistemas não possuem suporte às passkeys.
Você deve usar passkeys?
A resposta é clara: sim, você deve usar passkeys. Elas oferecem um nível de segurança muito maior que o das senhas convencionais, garantindo maior privacidade, individualização e proteção aos seus acessos.
Além disto, como nós mencionamos, elas são menos vulneráveis a ciberataques de phishing e keylogger, o que agrega ainda mais à segurança digital das pessoas. Então, se o seu sistema, website, plataforma e dispositivo oferecerem o recurso de passkeys, é uma ótima ideia utilizá-lo.
Configurando passkeys para seus dispositivos
Smartphones são os dispositivos que mais usam passkeys. Se você sincronizar sua conta ou criar uma conta nova no seu dispositivo iOS ou Android, você vai receber a opção de fazer log in com uma passkey ou de criar uma nova conta com uma passkey.
Você pode escolher habilitar as passkeys nos seus dispositivos de autenticação ou nas configurações de sistema na sua central de configurações da conta. Agora, vamos mostrar instruções mais específicas de configuração das passkeys.
Usando passkeys em dispositivos Google
A Google implementou o recurso de login com passkeys para acessar contas Google. Para habilitar este recurso, você só precisa seguir estes passos:
- Vá até sua Conta Google.
- Clique em Configurar chaves de acesso.
- Entre na sua conta Google.
- Se for requisitado, digite o PIN da sua conta Google.
- Na tela seguinte, você vai conseguir visualizar as passkeys já existentes e os respectivos dispositivos aos quais elas estão conectadas na seção Chaves de acesso geradas automaticamente. Você também vai poder ver passkeys que você gerou na seção Chaves de acesso criadas por você.
- Para criar uma nova passkey, clique em Chaves de acesso criadas por você.
- No pop up que vai aparecer, clique em Criar uma chave de acesso e siga os passos adicionais.
Depois de gerenciar sua passkey com sua Conta Google, você vai precisar repetir este processo com qualquer dispositivo compatível que você usar para entrar nas suas contas futuramente.
Usando passkeys em dispositivos Apple
A Apple usa o Apple iCloud Keychain para sincronizar passkeys de diferentes dispositivos via Cloud. Para habilitar este recurso, você precisa seguir os seguintes passos:
Para iPhone ou iPad:
- Vá até Ajustes, toque no seu nome ou Apple ID e depois em iCloud.
- Toque em Senhas e keychain.
- Habilite o recurso iCloud Keychain. Se for solicitado, digite seu Touch ID para verificar o processo.
Para dispositivos MAC:
- Vá até Ajustes do Sistema ou Preferências do Sistema no Menu Apple.
- Clique no seu nome ou Apple ID. Depois, clique em iCloud.
- Habilite a opção de Senhas e Keychain. Isto vai ativar o recurso de iCloud Keychain.
- Habilitar passkeys no iPhone ou iPad não vai desativar o recurso de Touch ID.
Usando passkeys nos dispositivos Windows
Os sistemas Windows mais recentes (como o Windows 10 e o Windows 11) possuem suporte para passkeys. Para habilitar e alterar suas configurações, faça o seguinte:
- Acesse um website ou app com suporte a passkeys.
- Crie uma passkey usando as configurações da conta.
- Salve a passkey. O Windows permite que suas passkeys sejam salvas em iOS, Android e dispositivos locais como uma chave de segurança.
- Complete o processo de acordo com o dispositivo selecionado.
- Depois de tentar fazer login com sua conta em um novo dispositivo, você vai receber uma notificação no dispositivo que você configurou para salvar suas passkeys.
As melhores ferramentas de passkeys para usar
Há diversas opções de gerenciadores de passkeys e senhas tradicionais disponíveis no mercado. Mas é fundamental levar alguns pontos em consideração antes de escolher qual gerenciador você quer usar:
- Confiabilidade: verifique se o gerenciador é confiável, quais são as opiniões dos usuários e reviews informativos sobre o produto.
- Suporte às passkeys: nem todos os gerenciadores de senhas oferecem compatibilidade com passkeys. Dê preferência às soluções que contam com este recurso.
- Recursos fundamentais: além de permitir o armazenamento de senhas, é fundamental que o gerenciador de senhas conte com um gerador de combinações únicas e seguras, o que ajuda a proteger suas contas com credenciais mais fortes. Além disto, a opção de indicar um contato de emergência para recuperação de acesso caso seu dispositivo seja perdido também é muito importante.
- Acessibilidade: verifique opções com preços competitivos. Mas é importante tomar cuidado com os programas gratuitos, já que muitos deles podem comprometer suas senhas ao invés de protegê-las. Independente de a opção ser paga ou gratuita, faça uma boa pesquisa sobre a seriedade do serviço oferecido.
A NordPass oferece tudo o que você precisa em um bom gerenciador de senhas e passkeys. O software usa configuração zero-knowledge para criptografar todos os dados do seu dispositivo antes de fazer o upload deles para os servidores da NordPass.
Além disto, a NordPass conta com recurso de gerador de senhas fortes para reforçar a segurança das suas contas, criando senhas personalizadas e únicas. Junto com a VPN da NordVPN, é uma excelente opção para melhorar a segurança das suas credenciais e agora também oferece suporte às passkeys.
Sua segurança online começa com um clique.
Fique em segurança com a VPN líder a nível mundial
O futuro das passkeys
Por mais que as passkeys sejam um recurso avançado de cibersegurança, elas constituem uma tecnologia bastante recente. Muitas empresas começam a usar e implementar passkeys em suas operações.
Mesmo oferecendo um nível avançado de segurança aos usuários, as passkeys ainda não devem ser vistas como uma substituição a recursos como a autenticação de dois fatores, por exemplo.
Nós podemos ter um vislumbre do futuro das passkeys pelo modo como as principais big techs lidam com a tecnologia no momento:
Amazon
Como uma das maiores plataformas de eCommerce do mundo, a Amazon já entende a importância de proteger os dados dos consumidores contra os vários tipos de ciberataques. Para melhorar a segurança dos usuários, a Amazon começou a oferecer a opção de log in com passkeys em outubro de 2023.
A Amazon permite que o recurso seja ativado pelas configurações da conta, praticamente do mesmo modo que os métodos discutidos anteriormente. Isto reduz os riscos de roubo e vazamento de dados, além de melhorar a navegação e a experiência dos usuários na plataforma.
A Google adotou novas medidas para proteger os dados dos usuários através do Titan Security Key, que facilita os processos de autenticação. Além da chave física, que possui limitações de funcionalidade como método secundário de autenticação, o Titan Keys inclui passkeys como método de verificação e log in.
Estes novos modelos FIDO2 podem armazenar passkeys para milhares de contas, além de funcionar com todos os serviços FIDO. Além disto, a Google permite conectar novos dispositivos, informar as credenciais e realizar a verificação.
Android
A popularidade dos dispositivos Android permite um uso mais disseminado das passkeys. O Android OS lançou o Gerenciador de Credenciais em novembro de 2023, que permite armazenar senhas biométricas e senhas tradicionais em um só lugar em dispositivos Android.
Da mesma forma que outras empresas, a Android busca mesclar conveniência e segurança de dados através de recursos de passkeys, principalmente através da compatibilidade com qualquer empresa que deseje desenvolver aplicativos para sistemas Android. Além de ajudar os usuários na busca por produtos de cibersegurança, isto permite uma melhor simbiose entre os aplicativos e o sistema.
Uma alternativa melhor que as senhas convencionais
As passkeys não são uma substituição imediata para as senhas tradicionais, mas são uma iniciativa promissora para proteger informações sensíveis e melhorar a cibersegurança dos usuários e das plataformas. Elas são perfeitas para oferecer segurança e conveniência, duas áreas com as quais as senhas tradicionais enfrentam muitos problemas.
Implementar passkeys nas contas significa obter uma melhor proteção pessoal para suas informações, o que melhora a navegação online. Os processos de integração são fáceis e podem ser feitos em conjunto com medidas convencionais de segurança. A adoção da tecnologia facilita o uso de apps e websites e já existe uma expansão do suporte às passkeys na indústria tecnológica em geral.