No Dia Mundial das Senhas, uma reflexão sobre chaves-senha
Hoje (2) é o Dia Mundial da Senha, data propícia para retomarmos um assunto abordado recentemente neste Manual: as chaves-senha, ou passkeys.
Na minha coluna de 12 de abril, tentei, da melhor maneira que consegui, explicar o que são as chaves-senha. Mencionei no final que existem “preocupações legítimas com as chaves-senha ajudando a concentrar ainda mais poder nas mãos (ou nos servidores) de poucas empresas”.
No final de abril, William Brown, mantenedor da principal biblioteca do padrão Webauthn em Rust (webauthn-rs), expôs seu descontentamento com chaves-senha. “Um sonho destroçado”, o título do post, dá uma ideia da desilusão do rapaz, que é basicamente o que costuma acontecer quando a big tech se envolve: Google implementou do jeito que quis e dane-se o padrão, Apple chegou depois e terminou de zoar o que já estava longe do ideal.
Fora o lance da namorada dele perder todas as chaves-senha salvas em sua conta da Apple e a concentração de dados vitais nas grandes empresas, as reclamações de Brown são de ordem técnica, no que quero dizer meio difíceis para leigos compreenderem. Quando alguém tão envolvido com o assunto se diz de saco cheio do negócio, talvez seja um momento para reflexão.
A essa altura, acho que as chaves-senha falharão nas mãos do público em geral. Perdemos a nossa chance de ouro de eliminar senhas graças ao desejo [da big tech] de capturar mercados e promover o hype.
[…]
Reforçando — minha companheira, que é extremamente inteligente, uma ávida gamer e cirurgiã veterinária, descartou as chaves-senha porque a UX é uma merda. Ela quer voltar às senhas.
E estou começando a concordar — um gerenciador de senhas oferece uma experiência melhor do que a das chaves-senha.
Isso mesmo. Estou aqui dizendo que senhas são uma experiência melhor do que chaves-senha. Você sabe o quanto me dói escrever essa frase? (E sim, isso significa que o MFA com TOTP ainda é importante para senhas que exigem memorização fora de um gerenciador de senhas.)
Então faça um favor a si mesmo. Adote algo como Bitwarden ou se você gosta de hospedagem suas coisas, Vaultwarden. Deixe-o gerar suas senhas e gerenciá-las. Se você realmente quiser chaves-senha, coloque-as em um gerenciador de senhas que você controla. Mas não use chaves-senha em um local controlado por plataformas e tenha muito cuidado com as chaves de segurança.
E se você quiser usar uma chave de segurança, basta usá-la para desbloquear seu gerenciador de senhas e seu e-mail.
Ouch.
Coloquei um aviso bem grande no início da coluna sobre chaves-senha, linkando para esta nota. Talvez o melhor seja aguardar um pouco mais para ver no que isso vai dar antes de aposentarmos as (não tão) boas e velhas senhas. Feliz Dia Mundial das Senhas…?
Não experimentei ainda e nem tive vontade. Mas acompanho essa história de passkeys só pra ver onde vai dar.
O que me pega nesse modelo é a questão de eventualmente ficar trancado fora da própria conta. Ou como mencionado no texto ter as credenciais resetadas do seu dispositivo, seja por um erro qualquer por parte do servidor ou do próprio aparelho. E não me venham com essa de “ah mas sempre pode ter também as senhas clássicas como backup”, ora se for pra se escorar sempre nas senhas clássicas qual o incentivo então das passkeys, se a ideia é abandonar as senhas?
Outra coisa que alguém mencionou abaixo, e que me deixa irritado é a possibilidade de futuramente sites/serviços começarem a exigir passkeys como autenticação, vai gerar um inconveniente tremendo pra quem não deseja adotar esse novo protocolo, as famosas soluções para problemas que não existem.
Esse é um bom jeito de detectar “dark pattern” em tecnologias promissoras. Daqui a pouco, só vai ser possível acessar certas configurações de segurança (leia-se funções básicas) nas contas das big techs se chave-senha estiver ativo/em uso.
Eu particularmente acredito em uma utopia de identidade digital em que o governo provê uma plataforma de identidade e quem precisar autenticar veracidade de identidades tem um local central e confiável pra isso.
Claro que essa utopia traz MUITA complexidade e lacunas jurídicas, fora as questões éticas, mas não vejo vantagem pro usuário de serviços gratuitos que as chaves-senhas vão trazer. Tecnicamente, elas parecem boas, mas se a experiência já começou tão mal, a boa e velha educação/disciplina com credenciais já “reduz a superfície de ataque”, como se diz no jargão da área.
Boa reflexão. Uso as senhas convencionais e pretendo continuar com elas.
Desde 2013, os cuidados básicos de segurança que tenho são:
– fazer cadastros sempre por e-mail e jamais por vinculação de conta existente em outros serviços / redes sociais;
– uso de um gerenciador para gerar e armazenar senhas, primeiro o 1Password; hoje, o KeePassXC;
É extremamente chato manter tantas senhas (e mais ainda a exigência, muitas vezes, desnecessária de criação de login para acessar certos sites e serviços). Mas prefiro manter assim do que deixar todos ovos na mesma cesta.
Sou usuário do 1Password e, embora o ele não tenha me deixado na mão até agora, venho contemplando a possibilidade de mudar de gerenciador. Os motivos dessa contemplação são um misto de um leve desgosto pelas alterações no aplicativo para Mac (não mais nativo, agora em Electron), o preço salgado e o surgimento de outras soluções semelhantes e mais baratas ou até “gratuitas”, a exemplo do Keychain da Apple. Poderia elaborar mais sobre os motivos de você trocar o 1Password pelo KeePassXC?
O 1Password foi e continua sendo uma excelente gerenciador.
Foram vários motivos que me fizeram mudar para o KeePassXC:
1) Comecei a usar o 1Password em 2013, quando havia licença vitalícia. Depois, mudaram o modelo de negócio para assinaturas. Com isso, tive dificuldade para instalar a extensão para navegadores quando atualizei de Windows 7 para o 10. Tive que usar uma antiga, instalando-a manualmente;
2) Quando migrei de Windows para Linux, em 2022, percebi que não havia app para Desktop ou o que existia não era, salvo engano, compatível com licenças vitalícias, somente com assinaturas.
3) Depois que peguei gosto pelo Linux e comecei a compreender melhor sobre as big techs e a filosofia do Software Livre, fiquei inclinado a mudar para uma solução FOSS. Até mesmo porque, estavam sempre insistindo para que eu aderisse ao modelo de assinaturas (o que serviu como alerta de uma possível descontinuidade do produto antigo).
4) A Agile Bits, desenvolvedora do 1Password, tomou uma atitude que reprovo: impôs sanções aos cidadãos russos, permitindo manter as senhas criadas, mas impedindo-os de criar novas. Independentemente de lados tomados, acho que os cidadãos não tem nada a ver com isso. Sanções deveriam ser contra o Governo ou alguma empresa, não pessoas físicas.
5) E também um certo receio com a segurança (e aqui minha memória falha um pouco), acho que cheguei a ver alguma notícia sobre falha de segurança ou vazamento de senhas do 1Password em alguma ocasião.
KEEPASSXC
Este app FOSS traz basicamente as mesma funcionalidade do 1Password, inclusive permite importação do cofre do 1Password.
Também é possível deixar o cofre numa nuvem, como Dropbox e sincronizar.
Para Android, há o KeePassDX, que pode user usado no smartphone (não sei como é no iOS).
Também possui extensão para navegadores. Aqui, uma pequena desvantagem: o preenchimento automático de campos não é algo tão fluído como no 1Password, mas funciona.
PS: off-topic: seu nome / nickname é referente àquela trilogia “Qatsi”, de filmes experimentais? Esta semana me lembrei do “Naqoyqatsi” (2002), que assisti despretensiosamente e coloquei os outros dois na minha watchlist.
Obrigado pela resposta! Eu também sou usuário do 1Password desde a época da licença vitalícia e mudei a contragosto para o modelo de pagamento anual (esqueci de mencionar isso na minha lista de “desgostos”).
PS: Sim! :)
Não acho que certas facilidades casou com a segurança. Nada se não usar senhas por hora
Uso basicamente as mesmas senhas em todos os sites (na real variações de 4 numeros: a variação com caracter especial, a de 7. etc…..). Isso fazem uns anos. Brigo violentamente para não usar 2 fatores em qualquer lugar. E uso bitwarden (vaultwarden) apenas para não ter de me estressar, claro, não para gerar uma nova senha ao se inscrever.
Fazem 25 anos que espero o fim do mundo.
Entendo a ideia de segurança. Porém quando uma pessoa que trabalha em segurança falar sobre isso com você se prepare para o que vai escutar, e aprenda a relevar o que ele diz. E como relevar segurança não é recomendado o exagero é espalhado por todos que apenas leem, dizer o oposto é ser contra a internet.
FUD.
Tem um monte de gente que dirige bêbada e nunca aconteceu nada, o que não significa que seja seguro dirigir embriagado. (Poderia citar vários outros exemplos de que evidências anedóticas não podem ser extrapoladas como média ou garantia de nada, mas… acho que me fiz entender.)
Acho que o numero de pessoas com contas roubadas devido a senha fraca é mais semelhante ao numero de pessoas que morrem dentro de onibus por acidente ou assalto.
E ACREDITO que maior que os que morrem com coco caindo na cabeça.
Evite onibus. E praias do nordeste ainda acho que estão liberadas.
Eu faço o meu dever de casa quando o assunto é segurança digital. Senhas únicas e complexas, gerenciador de senhas, autenticação em dois fatores (via OTP), a cartilha toda, e desde quando fiquei sabendo sobre passkeys eu quero utilizá-las. Empolgado, fiz o setup em uma conta Google secundária, que uso para acessar minhas planilhas em computadores que não são o meu (evito utilizar a minha conta principal em máquinas de terceiros), e nunca consegui logar via passkey fora de casa. Tentei inúmeras vezes, não sei o que estou fazendo de errado, mas sempre tenho que recorrer ao combo senha / OTP. E se eu, que cresci utilizando computadores e me considero versado em tecnologia, esbarro tão rapidamente em um obstáculo que não consigo transpor, imagino como seria a experiência do meu pai, por exemplo (ele é o protótipo do usuário que teria maior benefício com as passkeys: por comodidade, utiliza a mesma senha em todos os serviços, e ainda assim de quando em vez se embanana com as credenciais). Talvez realmente não estejamos prontos para abandonar as senhas, afinal.