Apple Passkeys: Por que todos na Internet se beneficiarão com isso

Quanto tempo você gasta lembrando suas senhas? Você cria novas chaves de segurança todos os anos e presta atenção à força da segurança com base nas sequências de caracteres e números? Provavelmente não, porque as empresas de segurança encontram senhas inseguras com muita frequência em seus bancos de dados todos os anos. A maioria das senhas são muito simples, nunca são alteradas e podem ser quebradas em poucos minutos.

Portanto, é louvável que a Apple tenha anunciado um novo método de autenticação conhecido como Passkeys para substituir as senhas. Na web, o novo método está fortemente ligado ao ecossistema da Apple, o que é uma pena. Isso ocorre porque com as Passkeys, a Apple apenas apresentou sua própria maneira de lidar com as novas credenciais do WebAuthn.

Por que as “chaves de acesso” não dizem respeito apenas aos usuários da Apple

Você leu certo. As “chaves de acesso” não são uma invenção exclusiva da Apple, mesmo que pareça na WWDC 2022. Elas são a marca interna da Apple para um novo tipo de credencial de login, desenvolvido pela FIDO Alliance. A Apple não faz parte da aliança, mas segundo eles, colaborou com Google e Android, entre outros, e segue os padrões FIDO para suas Passkeys. Mais cedo ou mais tarde, quase todos os usuários da Internet se beneficiarão do uso de senhas.

A ideia básica é implementar logins usando chaves de segurança em vez de senhas. Do ponto de vista do usuário, os logins são protegidos usando métodos biométricos que permitem que as chaves de segurança sejam comparadas com o servidor. Se você já estiver usando o Face ID e o Touch ID para desbloquear o chaveiro do iCloud, isso significa que muito pouco mudará em termos de acesso às suas contas.

Embora os logins de hoje no iOS já sejam tão convenientes quanto no período posterior, quando as senhas se tornaram comuns, há uma grande desvantagem. Atualmente, você só permite que o chaveiro do iCloud copie sua senha na tela de login. A partir daí, é então transmitido ao operador do servidor. Ainda existe o risco de que suas senhas possam ser obtidas por meio de ataques man-in-the-middle (MITM) ou de outra forma.

Mesmo o phishing, ou seja, a fraude de senhas fingindo ser um serviço de emergência muito importante ou outras táticas de engenharia social, ainda é possível com esse método. Atualmente, você pode copiar facilmente as senhas do seu chaveiro e colá-las em qualquer e-mail se tiver caído em um golpe.

É por isso que o manuseio de Passkeys e da Apple é tão seguro

Portanto, de certa forma, o uso de Passkeys até protege você do perigo proverbial de simplesmente sentar na frente de sua tela. Na parte inferior, é baseado em duas chaves de segurança – uma pública e uma privada. A chave pública reside no servidor após a configuração, enquanto a chave privada sempre permanece no dispositivo usado para login. O truque está na fórmula matemática usada na qual o método se baseia.

Como a Popular Science escreveu, isso foi projetado para que a chave privada não precise ser transmitida ao servidor durante as tentativas de login. Isso mantém sua senha segura mesmo em caso de ataques MITM ou hacks bem-sucedidos em servidores corporativos. As senhas são baseadas no padrão WebAuthentification (WebAuthn), que tem sido usado para logins sem senha na Web há algum tempo.

Então, se tudo isso já está disponível, a questão é por que todo mundo está agindo como se a Apple reinventasse a senha?

Por que todo mundo está agindo como se a Apple tivesse reinventado a senha?

Ei, boa pergunta! O que você realmente pode dar crédito à Apple: eles são os primeiros a usar senhas em todos os dispositivos. Ao mesmo tempo, eles oferecem uma interface de programação de aplicativos, ou API, para suas senhas. Para habilitar o login por meio de senhas, os sites e serviços devem primeiro criar os pré-requisitos, é claro. Como a Apple oferece seus novos sistemas operacionais iOS 16, watchOS 9, iPadOS 16 e macOS 13 como betas de desenvolvedor meio ano antes do lançamento, a disponibilidade no lançamento já pode ser esperada em muitos aplicativos e dispositivos. De qualquer forma, a Apple já introduziu suas próprias credenciais WebAuthn para a WWDC 2021.

As senhas também estão firmemente vinculadas ao chaveiro do iCloud. Você pode acessá-lo de qualquer dispositivo Apple no qual se registrou usando seu ID Apple. Como a Apple usa criptografia de ponta a ponta para suas chaves e não conhece as chaves de segurança, a página de suporte afirma que este é um local seguro para as chaves de acesso residirem.

O sistema também é protegido usando autenticação de dois fatores. Portanto, se você quiser se registrar para uma nova senha, precisará confirmar esse processo novamente em um dispositivo Apple ou através do navegador da Web digitando um código de seis dígitos.

A Apple não (re)inventou o login sem senha, mas simplesmente o implementou de maneira inteligente e segura. Além disso, os dispositivos da Apple são tão amplamente utilizados que o avanço de Cupertino será um bom incentivo para que serviços e sites finalmente atualizem para o WebAuthn.

As senhas tornarão impossível mudar para Android e Windows?

A mudança da Apple em direção ao Passkeys ainda me preocupou um pouco durante a transmissão ao vivo. Parecia que a Apple iria mais uma vez sustentar seu “jardim murado” com metileno. A introdução de Passkeys não torna quase impossível usar dispositivos que não sejam da Apple ou escapar do cosmos da Apple?

Embora ainda não esteja totalmente claro o quão fechada será a integração das chaves de acesso da Apple, há três argumentos contra meu medo.

1: Durante a conferência de desenvolvedores, a Apple mostrou brevemente como os logins serão possíveis em dispositivos que não são da Apple. No visor de um notebook Windows, pode-se ver um código QR onde deve ser escaneado usando um dispositivo Apple para fazer login. iPad com você.

2: Você já pode acessar seu chaveiro do iCloud no Windows. Tudo o que você precisa fazer é instalar o aplicativo iCloud e verá um programa correspondente no seu PC. O desbloqueio funciona por meio do serviço de autenticação do próprio Windows, conhecido como Windows Hello, e, portanto, também por meio de um método de login biométrico. No entanto, duvido que este sistema seja seguro o suficiente para as senhas da Apple. Isso ocorre porque o Windows conta com um PIN como fallback, que consiste em apenas quatro dígitos no pior cenário.

3:: O WebAuthn padrão não é, como já mencionado, da própria Apple e certamente será usado nativamente com Android, Windows e outros sistemas operacionais no futuro. Isso significa que você pode atribuir novas chaves de segurança para logins para obter acesso a sites. Mesmo que sejam diferentes das chaves sincronizadas da Apple, não faz diferença para o manuseio após a configuração. Afinal, você só faz login com o sensor de impressão digital ou reconhecimento facial de qualquer maneira.

Conclusão: As senhas são revolucionárias, mas não da Apple.

Vamos resumir os desenvolvimentos mais uma vez. Independentemente da Apple, o WebAuthn tornará os logins na web mais seguros. Depois de muito tempo, nossos dados não dependem mais de quanto tempo ou poder cerebral investimos na manutenção de nossas senhas. Além disso, o padrão traz proteção confiável contra phishing, hacking e até mesmo o tipo de empresa em que escolhemos fazer login.

A Apple está dando um grande passo nesse sentido, tornando-se a primeira empresa a lançar o serviço em todos os dispositivos. Ao mesmo tempo, a empresa está aproveitando seu ecossistema fechado para tornar os logins via senhas um esforço seguro e conveniente.

A decisão da Apple de apresentar as Passkeys como um tópico importante durante sua conferência de desenvolvedores, sem usar seu próprio nome, também é uma jogada brilhante. De certa forma, a Apple está colhendo os louros que a FIDO Alliance semeou e cresceu em cooperação.

Afinal, se o Android ou o Windows anunciarem o suporte a senhas em breve, o público certamente o associará à Apple como o originador.

Touché, Apple. Touché!