A Apple, Google e Microsoft anunciaram ontem que vão construir em conjunto um sistema que vai permitir o login sem utilização de passwords em plataformas móveis, computadores e browsers nos respectivos serviços. Na prática, isto quer dizer que, a médio prazo, será possível aceder a dispositivos móveis Android e iOS, ao browser Chrome, Edge e Safari e ao Windows e macOS sem a necessidade de se inserir uma password.
Segundo um artigo publicado pela Google, o sistema de autenticação sem password vai permitir aos utilizadores definirem os seus smartphones como dispositivos de autenticação para aplicação, site e outros serviços digitais. Ao desbloquear o smartphone usando o método definido pelo utilizador, quer seja através de um PIN, um padrão ou uma impressão digital será suficiente para aceder a serviços online sem necessidade de inserir uma password. Isto é possível através da utilização de um token criptográfico chamado passkey que é partilhado entre o telefone e o site.
A ligação do processo de autenticação a um dispositivo físico, vai aumentar a simplicidade e a segurança da utilização destes serviços. Ao eliminar a necessidade de usar uma password, também é eliminada a obrigação do utilizador de se lembrar dados de login diferentes para os vários serviços. Como muita gente usa os mesmos dados login para os vários sites e serviços, a utilização do método de autenticação sem password também aumenta a segurança. A vida dos hackers também vai ser mais complicada, porque vai haver mais dificuldade de comprometer os dados de login remotamente por causa da necessidade de usar um objecto físico para aceder.
A utilização de um sistema de autenticação único pelas três empresas é possível através da utilização de um padrão chamado FIDO que usa um sistema de criptografia baseado em chaves públicas para permitir a autenticação sem recurso a passwords e também a autenticação de dois factores em certos contextos. Um smartphone pode guardar uma passkey FIDO e partilhá-la com uma site ou serviço para autenticar o utilizador apenas quando o dispositivo está desbloqueado. Segundo o artigo publicado pela Google, as passkeys também podem ser sincronizadas com um novo dispositivo a partir de uma cópia de segurança na nuvem, no caso de se perder o dispositivo.
Apesar de já existirem muitas aplicações que já incluem suporte para autenticação FIDO, a configuração inicial obrigava ao uso de uma password, o que quer dizer que os utilizadores ainda estavam vulneráveis a ataques de phishing. O novo método vai dispensar a utilização de uma password na configuração inicial.
A Apple, Google e Microsoft esperam que o novo método esteja implementado no próximo ano, mas não foi anunciado nenhum roadmap para o lançamento.
