O fim das senhas?

20

Quem estava prestando atenção ao tentar criar ou acessar contas em serviços de grandes empresas em 2023 deve ter reparado: Apple, Google e Microsoft passaram a insistir muito para que adotemos um substituto futurista da velha senha alfanumérica, as passkeys — no Brasil, traduzidas como chaves-senha ou chaves de acesso.

Apresentadas como o futuro da autenticação digital segura, as chaves-senha (chamemo-las assim) são um padrão baseado no WebAuthn criado pela Aliança FIDO. Ok, muito interessante, mas o que isso significa? Depois que eu te explicar, parecerá que elas parecem boas demais para ser verdade. Só que ao que tudo indica, é verdade sim.

Atualização (2/5/2024): Ou talvez não? Duas semanas após publicar esta coluna, começou um debate acerca dos tropeços na implementação comercial de chaves-senha. Vale a leitura e parcimônia antes de aposentar em definitivo as velhas senhas.

O primeiro passo para usufruir das chaves-senha é configurar uma (ou várias) em serviços que já dão suporte ao padrão. O site da Aliança FIDO tem um diretório deles — muitos serviços grandes e populares já embarcaram nessa.

Por “chave-senha”, entenda um dispositivo seu, como o celular.

A configuração consiste em ir nas configurações do serviço, apertar um botão para criar a chave-senha e autenticar-se com a biometria (impressão digital ou reconhecimento facial; a mesma que você usa para desbloquear o celular) ou PIN (ironicamente, a senha do seu dispositivo; não é o ideal, claro).

Feito isso, no próximo login a senha poderá ser dispensada. Ao tentar o acesso, o celular pedirá uma autenticação biométrica, como se precisasse ser desbloqueado, e você estará dentro.

Este vídeo curtinho do Bitwarden, um gerenciador de senhas que já suporta chaves-senha, mostra bem o passo a passo:

***

A lógica das chaves-senha não é nova. Elas são baseadas em um par de chaves criptográficas, uma pública e outra privada.

Quando você configura uma chave-senha em um serviço, digamos… na conta do Google, envia sua chave pública aos servidores do Google. Ao tentar acessar sua conta no futuro, o servidor do Google manda um “desafio” para o seu dispositivo baseado na chave pública. Esse desafio só pode ser respondido corretamente pela sua chave privada, que está armazenada em seu dispositivo/celular. Com a resposta correta, o acesso é liberado.

Essa lógica é muito popular entre administradores de sistemas e entusiastas, que há décadas usam coisas como OpenSSH e OpenPGP para acessarem servidores remotos sem senha e trocarem e-mails criptografados.

chaves-senha têm duas vantagens: ela joga para debaixo do tapete toda a complexidade da criação e administração dos pares de chaves e acrescenta uma camada de proteção (de preferência) baseada na autenticação biométrica.

Em outras palavras, ao adotar a chave-senha, troca-se a senha e o segundo fator de autenticação por um celular e seu dedo (ou rosto). É difícil ser mais conveniente que isso nas circunstâncias atuais.

***

Mesmo para alguém… digamos… preocupado com segurança digital, que faz o dever de casa no método antigo (cria senhas únicas, usa gerenciador de senhas e autenticação em dois fatores, sério, mereço uma estrelinha dourada), é difícil encontrar desvantagens nas chaves-senha. Elas trazem um ganho real em conveniência sem comprometer a segurança. Em muitos casos, elas aumentam a segurança.

É um sistema perfeito? Não, não é. E, talvez por ser algo bom demais para ser verdade, há dúvidas bastante pertinentes.

A primeira é: e se eu perder meu celular que é a chave-senha? A resposta é que não é muito diferente de perder o celular com seu gerenciador de senhas. A Apple explica, por exemplo, que métodos de recuperação de contas continuam funcionando e as chaves-senha podem até co-existir com senhas convencionais.

Mais que isso, a maioria das implementações em sistemas operacionais e gerenciadores de senhas sincroniza as chaves-senha na nuvem, criptografadas. No cenário acima, o caminho seria acessá-las de outro dispositivo. Em último caso, usar os códigos de backup que, tenho certeza, você anota e guarda em um lugar muito seguro.

O celular/chave-senha perdido, aliás, precisa da autenticação biométrica para acessar contas. Sem isso, ele é um peso de papel. Caso a perda se dê por um assalto, é essa a garantia que as empresas dão de que seus dados e credenciais de acesso continuarão seguros.

Percebe-se que elas não conhecem muito bem o Brasil, mas, novamente, não é nada muito diferente das senhas tradicionais, em geral protegidas pelo mesmo sistema de autenticação em gerenciadores de senhas. A diferença é que, com as chaves-senha, não existe “senha” propriamente dita.

Uma última questão importante é o local de armazenamento das chaves-senha.

A Apple foi a primeira entre as gigantes de tecnologia a difundirem as chaves-senha. Sua implementação é baseada no Chaves do iCloud, o gerenciador de senhas embutido em seus sistemas. É tudo lindo até você precisar acessar um sistema em um celular Android, por exemplo, que não tem suporte ao iCloud. Aí tem que recorrer a QR codes e toda aquela conversa de conveniência acaba um pouco esvaziada.

Outras empresas com aplicativos multiplataforma, como a Proton, criticam (com razão) implementações como a da Apple, que, embora seguras, servem também ao propósito de “prender” usuários em seus ecossistemas.

Implementações como a do Proton Pass, 1Password e Bitwarden são mais abrangentes, ou seja, funcionam em múltiplos sistemas operacionais.

Lembre-se, porém, de que é possível ter duas ou mais chaves-senha, ou seja, embora seja um pouco mais chato, o uso de sistemas operacionais de diferentes fornecedores não impede que alguém usufrua da tecnologia das chaves-senha.

Existem, ainda, preocupações legítimas com as chaves-senha ajudando a concentrar ainda mais poder nas mãos (ou nos servidores) de poucas empresas. Para esse problema, é mais complicado enxergar uma solução.

***

Sempre me senti seguro com meu esquema de segurança digital, o que me levou a acompanhar a disseminação das chaves-senha com certo desdém, “eu não preciso disso”. Talvez não precise mesmo, mas quem sou eu… né? Preocupo-me muito com questões que, para outras pessoas, são uma chatice. Segurança digital é um exemplo disso.

As chaves-senha são uma melhoria gigantesca para quem repete senhas, usa 123456 como senha, dispensa o segundo fator de autenticação, entre outras barbaridades.

Se aceita uma dica/recomendação, comece implementando chaves-senha em serviços simples, que não causem tanta dor de cabeça se algo sair errado (ainda que seja muito difícil algo sair errado). Depois que ganhar confiança, basta expandir para os demais e começar a dar adeus às senhas tradicionais.

A newsletter do Manual. Gratuita. Cancele quando quiser:

Quais edições extras deseja receber?

Siga no Bluesky, Mastodon e Telegram. Inscreva-se nas notificações push e no Feed RSS.

20 comentários

  1. É a famosa terceirização da segurança, mas melhor que repetir senhas…

  2. Tenha uma Yubikey e estou com dificuldades pra usar no meu pc de casa. Ela pede um PIN… já tentei de tudo e nada passa e nem lembro de ter cadastrado nada de PIN. No notebok do trabalho funciona normal.

  3. E como vc empresta a chave-senha passa a sua esposa acessar determinado serviço?

    1. Pode ser um tablet também, desde que ele tenha uma versão do sistema operacional/gerenciador de senhas compatível com chaves-senhas.

  5. O que o vídeo me mostrou é que no lugar de usar o bitwarden para entrar com minha senha uso ele para entrar com minha (pass)senha. OK, legal. Eu acho.
    Mantendo no bitwarden, é ótimo mesmo, mas ainda mantenho usando a senha 1.

  6. Vamos supor que alguém roube o celular, descubra ou saiba de alguma forma o PIN, adicione sua digital ou rosto nas opções de desbloqueio, essa pessoa teria acesso a todos os logins que utilizam as chave-acesso no celular?
    Pergunto isso, pois utilizo o Bitwarden pra armazenar minhas senhas, e se você adiciona uma nova impressão digital, ele só deixa você desbloqueá-lo com a digital se fizer isso antes utilizando a senha mestre.

    1. Se bem que se tiver acesso aos emails, dá pra tentar mudar as senhas. Enfim, os riscos são os mesmos utilizando os dois métodos.

    2. Se souber o PIN, é game over. A Apple adicionou uma proteção (opcional) no iOS 17.3 para alterar configurações sensíveis quando você está fora dos seus locais habituais (casa e trabalho; pode configurar para funcionar sempre), aí mesmo com o PIN é preciso esperar 1h para alterar a senha da conta Apple ou cadastrar novas biometrias, por exemplo.

      Como as chaves-senhas (e gerenciadores de senhas) te livram de ter que decorar senhas, o ideal é ter um PIN grande, alfanumérico. Aquele padrão nos Android e o código numérico de 4 dígitos do iOS… sério, a essa altura, é uma irresponsabilidade depender disso para criptografar o celular.

  7. Tenho muito medo disso pelo caso de perda ou roubo do celular, atualmente ninguém pensa muito nesses casos

      1. Da mesma maneira que se recuperaria uma conta com segundo fator de autenticação: acessando por um dispositivo já logado (aí você cancela a chave-senha por dentro) ou recorrendo a um código de backup.

        1. Ou seja, quem for usar o celular como chave, precisa ter um 2o celular (ou outro dispositivo) em casa com todas as contas igualmente logadas para ter segurança. Ou ter um caderno ou pasta digital com esses códigos de becape, sendo um código por conta , certo ? praticamente virando uma 2a tabela de senhas que precisam ser salvas com segurança, ao estilo das senhas antigas. Eu entendi corretamente ?

          1. Você pode ter um computador em casa logado nas suas contas. Se perder o celular, basta acessá-las pelo computador e excluir o celular como chave-senha.

            É mais ou menos isso, e, embora pareça algo muito absurdo, não é diferente de uma boa configuração de senha+2FA (segundo fator de autenticação). O melhor é ter os códigos de backup salvos em local seguro, porque se você perde o 2FA ou se esquece da senha, como vai voltar? (Pode acontecer até sem perder ou esquecer de nada, como aconteceu comigo recentemente. Ah, eu guardo esses códigos em um gerenciador de senhas à parte.)

            A chave-senha tem a vantagem de que elas podem ser sincronizadas com sua conta online do sistema operacional ou gerenciador de senhas.

            O objetivo não é eliminar todas as senhas da sua vida, mas reduzir a quantidade para que você consiga recordar senhas seguras. Acho que é um grande avanço em relação a usar senhas fracas e/ou reutilizá-las.

          2. @Ghedin

            Entendi. Vou anotar esse esquema de ter um gerenciador a parte para os codigos de becape. Resta ver se todas essas tecnicas vão efetivamente serem adotadas pelas pessoas com senha 123456.

  8. Minha primeira experiência com passkey foi desatrosa, talvez esse meio de segurança precisa melhorar, enfim, vou esperar isso ser mais difundido e funcionar bem.

    Recebi uma sugestão da Sony para usar passkey no meu Playstation 5 e após vários minutos consegui habilitar. No primeiro acesso com passkey simplesmente perdi acesso ao meu videogame, o app Playstation App enviou uma notificação para eu autorizar o login, eu aceitei por biometria, porém, o videogame continuou bloqueado aguardando autenticação por vários minutos. Voltei para o método antigo de senhas e login automático.

    1. Curioso o caso do PS5 ser autenticado via passkey. No caso, a Sony usa o seu celular como o leitor para sua chave de acesso?

      1. Sim, eu usei o smartphone, mas pode ser também um tablet.

  9. É como se todos os seus devices virassem yubikeys, mas para quem tem a chave, no lugar de comprar uma segunda chave você usa seus devices.

Escolhas do editor

Posts aleatórios