Num mundo em constante mudança em termos de cibersegurança, as palavras-passe tradicionais não são suficientemente boas.
Combinando o poder da criptografia de chave pública com a autenticação biométrica, as passkeys criam uma solução em que nunca mais terá de se lembrar de palavras-passe ou recear violações de segurança.
Com mais de 6 mil milhões de dados de acesso, nomes de utilizador e palavras-passe únicos, disponíveis na dark web, e com a maioria dos utilizadores a utilizar as mesmas palavras-passe em todas as plataformas, as passkeys surgiram como uma solução revolucionária, oferecendo um método de autenticação mais seguro e simplificado.
A tecnologia da Passkey traz muitas vantagens que a tornam a opção primordial.
Mas o que são Passkeys e em que medida são diferentes das palavras-passe?
Quais os grandes operadores que lideram esta tendência e integram o suporte de passkey no seu ecossistema?
Neste artigo, vamos aprofundar o significado das Passkeys, como funcionam as Passkeys e porque é que vão ser o futuro da segurança online.
Pronto para mergulhar no futuro? Vamos começar.
Em termos simples, uma Passkey é uma chave criptográfica concebida para substituir as palavras-passe.
Como as palavras-passe antigas podiam ser facilmente roubadas, pirateadas ou mesmo adivinhadas, as passkeys funcionariam a um nível completamente diferente, com autenticação por pares de chaves público-privadas.
Ao contrário de uma palavra-passe, as Passkeys não podem ser partilhadas, recordadas ou escritas. Isto torna-as muito menos vulneráveis aos tipos de ataques que normalmente visam sistemas baseados em palavras-passe.
No fundo, as passkeys são alimentadas por criptografia assimétrica, fornecendo uma autenticação forte e sem fricção. As passkeys utilizam pares de chaves público-privadas para autenticar utilizadores sem nunca expor informações sensíveis.
Quando uma Passkey é criada, são geradas duas chaves criptográficas:
1. Chave pública: A chave pública fica no servidor do fornecedor de serviços. Não é sensível por si só e não pode ser utilizada para aceder à sua conta.
2. Chave privada: Esta chave é mantida no dispositivo do utilizador, como um smartphone. Nunca sai do dispositivo e está sempre protegida por uma forma forte de verificação do utilizador.
Agora que o significado das Passkeys é claro, vamos ver como funcionam:
Quando cria uma conta utilizando Passkeys, o seu dispositivo cria um par de chaves público-privadas.
A chave pública é armazenada nos servidores do serviço, enquanto a chave privada é armazenada de forma segura no seu dispositivo, em componentes dedicados concebidos para guardar dados sensíveis. Estes incluem o Secure Enclave nos dispositivos Apple, o Trusted Platform Module (TPM) no Windows e no Android e o Samsung Knox nos dispositivos Galaxy. Estes componentes estão isolados do processador principal e funcionam como um cofre, que mesmo em caso de ataque de malware ou violação, os dados sensíveis do utilizador permanecem seguros.
As Passkeys também funcionam entre dispositivos; graças a ecossistemas seguros, as chaves privadas são sincronizadas em todos os dispositivos, tornando a autenticação perfeita em qualquer dispositivo em que uma conta na nuvem, como o iCloud ou o Google, esteja ativa.
Após o início de sessão, em vez de pedir uma palavra-passe ao utilizador, o serviço pede-lhe que utilize o mecanismo de desbloqueio do dispositivo.
O dispositivo assina o desafio com a chave privada e envia-o de volta para o serviço para verificação pela chave pública. A chave privada é delimitada por domínio.
O dispositivo cria uma assinatura baseada no tempo para cada tentativa de início de sessão e expira pouco depois de ser criada, garantindo que, mesmo que seja intercetada, não possa ser reutilizada ou explorada.
Isto acontece em tempo real e proporciona um início de sessão muito seguro e sem falhas.
É como ter um guarda-costas digital superseguro para todas as suas contas.
Embora a biometria remonte a 500 a.C., no Império Babilónico, onde as impressões digitais eram utilizadas em placas de argila para identificação, o primeiro sistema biométrico formal foi desenvolvido no século XIX por Alphonse Bertillon, em Paris, utilizando as medidas do corpo para identificar criminosos.
Enquanto a autenticação biométrica inicial lançou as bases para a verificação de identidade, a evolução para as passkeys começou em 2012, quando a FIDO Alliance foi formada por empresas como a PayPal e a Lenovo, com a missão de eliminar as palavras-passe.
Em 2013, o iPhone 5S da Apple introduziu o Touch ID, acelerando a adoção da biometria e abrindo caminho para que outras empresas integrassem a autenticação biométrica.
A revolução das Passkeys começou em 2021, com as principais empresas de tecnologia a adotarem as normas FIDO2 e WebAuthn, para permitir a autenticação sem palavra-passe, tornando as Passkeys disponíveis para milhares de milhões de utilizadores atualmente.
Um marco significativo na evolução das Passkeys foi a aprovação pelo NIST (National Institute of Standards and Technology) das Passkeys sincronizadas no seu suplemento às diretrizes SP 800-63B.
Este reconhecimento realça a natureza resistente ao phishing das Passkeys e o seu potencial para substituir as palavras-passe tradicionais por soluções seguras de uma forma mais conveniente para os seus proprietários.
Com a aprovação do NIST, as Passkeys ficaram prontas para serem adotadas, especialmente em setores regulamentados como a banca e os cuidados de saúde, impulsionando a próxima fase da verificação segura da identidade digital.
A adoção de Passkeys está a ganhar força, com os principais fornecedores de programas de navegação/SO a liderar o processo.
A Apple, a Google e a Microsoft já integraram o suporte para a tecnologia nos seus ecossistemas, permitindo que os utilizadores iniciem sessão no seu ecossistema com facilidade.
Além disso, muitos fornecedores de serviços já estão a aderir à revolução da chave-passe.
Entre os adotantes notáveis contam-se:
Vários navegadores populares têm suporte integrado para Passkeys, incluindo:
Grandes gigantes como o GitHub, Dropbox e PayPal estão atualmente a ativar Passkeys para uma melhor segurança nos seus sítios Web.
Uma lista crescente de grandes empresas aderiu às Passkeys, incluindo:
Existem dois tipos diferentes de Passkeys, que servem diferentes casos de utilização e, mais importante, diferentes requisitos de segurança. Entre as várias categorias que encontrará ao fazer a sua pesquisa no mundo da segurança digital, existem as Passkeys para vários dispositivos e as Passkeys vinculadas a dispositivos. Vamos entender essas variações.
As Passkeys para vários dispositivos, também conhecidas como Passkeys sincronizadas, são a escolha ideal para uso pessoal. Sincronizam-se perfeitamente com os seus vários dispositivos, como o telemóvel, o tablet ou o computador portátil, desde que estejam ligados à sua conta Apple, Google ou Microsoft. Esta flexibilidade permite-lhe aceder às suas contas a partir de qualquer um dos seus dispositivos de confiança.
Em nítido contraste, as passkeys vinculadas a dispositivos são os guardiões da fortaleza do mundo empresarial: não podendo ser copiadas de todo porque estão vinculadas a um dispositivo, acrescentam uma camada adicional de segurança vital para as empresas com políticas rigorosas de proteção de dados.
As Passkeys proporcionam um novo nível de conveniência e segurança tanto para os utilizadores como para os programadores. Veja como elas fazem a diferença:
As Passkeys também têm os seus inconvenientes: Com uma adoção limitada, nem todos os serviços as suportam ainda.
Se não for implementada corretamente, a recuperação pode ser difícil se perder todos os dispositivos ligados. Além disso, a dependência de ecossistemas como o iCloud e o Google Password Manager pode limitar os utilizadores que não fazem uso dessas plataformas.
Por último, há a curva de aprendizagem para os utilizadores que não estão familiarizados com este novo método de autenticação.
No entanto, estas desvantagens são apenas temporárias e, à medida que as Passkeys forem sendo mais adotadas, a sua utilização tornar-se-á mais fácil e universal.
As Passkeys são a próxima geração de autenticação, tentando resolver as limitações das palavras-passe que os utilizadores são normalmente forçados a gerir através da reutilização ou simplificação devido a restrições de memória.
As palavras-passe introduzem pontos fracos e facilitam muito a vida dos atacantes.
Eis alguns pontos-chave que explicam por que razão as Passkeys são melhores:
O futuro de uma Passkey vai ser realmente inovador. Para além das impressões digitais e do reconhecimento facial, que são os métodos de autenticação biométrica utilizados atualmente, poderemos também ver a utilização de ondas cerebrais, batimentos cardíacos ou mesmo ADN.
Além disso, com a utilização da tecnologia de cadeias de blocos, isto poderia permitir a criação de uma identidade auto-soberana, em que as próprias pessoas têm o controlo total dos seus dados, utilizando Passkeys como prova de identidade a nível universal.
À medida que estas tecnologias evoluem, cada vez mais pessoas perguntam: o que é uma Passkey e como funciona? Esta curiosidade crescente está a levar os desenvolvedores de tecnologia a investir esforços significativos no desenvolvimento e aperfeiçoamento desta área.
Não há dúvida de que as Passkeys vão mudar a segurança e a identidade digital para as gerações futuras.
Conhecendo agora as Passkeys, pode querer implementá-las no seu sítio Web ou aplicação.
Consulte o nosso guia de integração de Passkeys para obter mais informações.
A boa notícia é que não é necessário começar do zero para implementar as Passkeys. Existem muitas soluções que aceleram o seu processo.
Os fornecedores de identidade suportam Passkeys prontas a utilizar para uma fácil integração nos seus fluxos de autenticação.
Se pretender mais controlo, bibliotecas como a SimpleWebAuthn ou a WebAuthn4J podem tratar de criptografia complexa do lado do servidor.
E para os programadores de aplicações móveis, é igualmente fácil implementar Passkeys utilizando os Serviços de Autenticação da Apple ou a API dos Serviços de Identidade da Google.
Plataformas como a OwnID fornecem SDKs e APIs completos que estão disponíveis para programadores web e móveis, a OwnID suporta personalização, análise e conformidade.
Com a OwnID, os programadores dispõem de soluções de Passkeys seguras e fáceis de utilizar, que se integram perfeitamente nos seus sistemas com um mínimo de linhas de código. Isto poupa tempo de desenvolvimento e garante uma segurança robusta, libertando os programadores para inovar e não para construir infraestruturas.
Estas soluções de Passkey permitirão às equipas colocar os seus projetos a funcionar rapidamente sem terem de reinventar a roda, proporcionando uma forma inovadora de autenticação no processo.
As Passkeys representam um tipo inovador de autenticação que substituiria as palavras-passe.
A criptografia de chave pública permite que o seu dispositivo gere um par de chaves, em que a chave privada fica guardada num local seguro enquanto a chave pública é fornecida ao serviço.
Abra qualquer serviço ou aplicação online que suporte Passkeys e clique na opção para criar uma Passkey. Basta seguir as instruções, que geralmente envolvem autenticação biométrica.
As palavras-passe normais são criadas pelo utilizador numa cadeia de caracteres, as Passkeys são geradas através de chaves criptográficas criadas e armazenadas de forma segura no seu dispositivo. As Passkeys são imunes a phishing ou a violações de dados, em comparação com as palavras-passe.
As Passkeys são praticamente impossíveis de piratear. A chave privada nunca sai do seu dispositivo e requer autenticação biométrica, o que as torna completamente imunes a phishing e violações.
Algumas das possíveis desvantagens da utilização de Passkeys incluem a adoção limitada, o seu acesso depende dos dispositivos e a dificuldade de recuperação em caso de perda de todos os dispositivos.
Estão disponíveis opções de recuperação na maioria das plataformas que oferecem esta funcionalidade, como a utilização de outro dispositivo associado à conta ou a utilização de um código de recuperação. Recomenda-se vivamente a configuração de dispositivos de cópia de segurança ou mesmo a utilização de uma forma alternativa de recuperação para obter acesso às suas várias contas.
Correto, na maior parte das vezes continua a ser possível utilizar a sua palavra-passe mesmo depois de configurar uma Passkey. A maioria dos serviços que suportam Passkeys continua a suportar palavras-passe por motivos de compatibilidade e como forma alternativa de autenticação.
