Embora as passkeys continuem a ser um ecossistema em evolução, seria sensato abraçarmos hoje o padrão de autenticação do amanhã. Vai chegar o dia em que quando quiser iniciar sessão num dos sites ou aplicações que usa habitualmente e não encontrará qualquer opção para fornecer uma password. Já a decisão sobre a manutenção dos campos para inserir um ID de utilizador ainda não está tomada. Simplesmente terá de escolher a partir de uma lista personalizada de credenciais válidas para esse site ou aplicação e, se tudo correr bem, pode começar a usá-los.
Como é que chegámos aqui?
A Apple, a Google, a Microsoft e outros membros da FIDO Alliance – o consórcio que desenvolve e promove o padrão passkey – estão a liderar a mudança na forma como nos autenticamos em sites e aplicações. A indústria tecnológica tem vindo a fazer ajustes discretos aos sistemas operativos e aos browsers web para possibilitar este futuro sem passwords.
A ideia por trás das passkeys é impedir que os utilizadores, se comportem como seus piores inimigos. Durante quase duas décadas, atacantes – principalmente phishers e smishers – têm tentado enganar os utilizadores para lhes darem as passwords. Podia pensar-se que nesta altura já teríamos aprendido a detectar e evitar estes golpes. Mas não aprendemos, e os danos continuam.
Em resposta, a FIDO Alliance encontrou uma forma de eliminar as passwords por completo. Se não houver passwords para passar aos sites e aplicações legítimos, a FIDO Alliance considera que também não haverá passwords para dar aos burlões.
A FIDO está a esforçar-se ao máximo para garantir que os utilizadores, não estraguem isto. Com as passkeys, a indústria tecnológica está a tirar-nos as chaves e a entregá-las a um gestor de credenciais profissional cuja função é abrir e guardar as portas por nós. E não, não ele não vai devolver essas chaves. Mas podemos fazer algumas escolhas inteligentes agora.
Os dois tipos de gestores de credenciais
Hoje, ironicamente e de forma pouco construtiva, referimo-nos a estes gestores de credenciais como “Gestores de passwords”. No ano passado, a Apple mudou o nome do seu gestor de credenciais (anteriormente iCloud Keychain) para ‘Palavras-Passe’ (Apple Passwords). Esta é a mesma Apple – um membro da FIDO Alliance – creditada por ter inventado a palavra “passkey” em 2022. A Google baptizou o seu gestor de credenciais “Google Password Manager”, enquanto o gestor de credenciais da Microsoft ainda não tem um nome oficial.
Mas sejamos claros: as passkeys não são palavras-passe. Se nos estamos a livrar das palavras-passe, não deveríamos também livrar-nos do nome “Gestor de Passwords”?
Note-se que existem dois tipos principais de gestores de credenciais. O primeiro é o dos gestores de credenciais incorporados nos sistemas operativos para dispositivos móveis e desktop. Estes são os da Apple, Google e Microsoft e podem ser encontrados no Windows, Edge, MacOS, Android e Chrome. Ao mudar para as passkeys, se não usar o seu próprio gestor de credenciais externo, provavelmente acabará a usar um destes.
O segundo tipo é o software de gestão de credenciais dedicado “traga o seu próprio” (Bring Your Own ou BYO). Exemplos incluem o 1Password, Bitwarden, LastPass e NordPass.
Todos os gestores de credenciais – incorporados e BYO – operam segundo o mesmo princípio: uma vez que uma credencial é estabelecida, é sincronizada com um recurso central (na maioria dos casos, a nuvem do gestor de credenciais) e, a partir daí, é sincronizada com os outros dispositivos – desde que esses dispositivos estejam configurados para sincronizar com esse recurso central.
Em graus variados e com destreza variável, os gestores de credenciais podem gerir e preencher automaticamente outras informações pessoais e activos sensíveis, como nomes, moradas e informações de cartões de crédito. Embora o ecossistema actual de passkeys tenha alguns problemas de utilização, não deve ser dissuadido de adoptar as passkeys. Mas deve ser uma adopção ponderada e informada.
Aqui ficam 10 recomendações para abraçar o presente e o futuro das passkeys.
Escolha já um software gestor de credenciais
Pesquise e escolha um gestor de credenciais BYO como se fosse uma das decisões tecnológicas mais importantes que vai tomar no futuro.
Porquê? Os gestores de credenciais integrados de hoje oferecem pouco controlo sobre a gestão das suas credenciais e outros segredos.
Mais importante ainda, os gestores de credenciais BYO estão disponíveis para muitas plataformas e navegadores. Em contraste, os gestores de credenciais integrados têm pouca motivação para servir os interesses de outros fabricantes de plataformas. Escolher um gestor de credenciais BYO que suporte vários sistemas operativos e browsers protege-o contra quaisquer alterações de plataforma não planeadas no futuro. Por exemplo, adora o Mac, mas arranja um emprego onde o Windows é a única opção. Ou decide deixar o Chrome pelo Firefox.
Pode mudar os dados entre gestores de credenciais, mas com cuidado
Isto é mais fácil de dizer do que de fazer. Embora muitos gestores de passwords tentem facilitar e automatizar o processo de migração dos dados, a experiência com migrações automatizadas pode variar. Alguns gestores BYO deixam o seu gestor de credenciais existente no lugar de uma forma que pode resultar em conflitos de preenchimento automático indesejados. Por exemplo, quando um site oferece a sua caixa de diálogo de ID de utilizador e palavra-passe, tanto o seu gestor de credenciais antigo como o novo podem surgir simultaneamente com as suas próprias caixas de diálogo que se sobrepõem.
Infelizmente, os gestores de credenciais não se comportam como os browsers. Quando usa um gestor de credenciais pela primeira vez, pode não lhe ser perguntado se o seu sistema deve tornar o novo gestor de credenciais o padrão. Os browsers fazem-no e era bom que os gestores de credenciais também o fizessem.
Em resumo: quando se trata de migrações de dados, verifique duas vezes se todas as entradas listadas no novo gestor de credenciais não estão duplicadas. Antes de remover quaisquer entradas do gestor de credenciais antigo ou novo, certifique-se de que identificou e testou os seus “guardiões” – esses registos de credenciais dos quais dependerá para lidar com todos os futuros logins.
Porquê? Nada é mais irritante do que um monte de pop-ups sobrepostos que prejudicam a experiência do utilizador, de modo que o seu rato nem sequer consegue clicar nas credenciais que deseja usar. A melhor maneira de garantir uma migração limpa é rever manualmente os gestores de credenciais antigos e novos para procurar conflitos ou, pior, entradas no gestor de credenciais antigo que podem ter sido excluídas da migração automatizada. Quando terminar, todas as entradas no seu gestor de credenciais antigo devem ser eliminadas. E, enquanto estiver a examinar todas as entradas no novo gestor de credenciais para identificar quais manter e quais descartar, pode muito bem ir um pouco mais longe com o passo 3.
Pare de usar password partilhadas agora e para sempre
“Passwords partilhadas” são palavras-passe que reutiliza ou partilha em sites e aplicações diferentes. Embora muitos sites e aplicações estejam a começar a suportar passkeys, praticamente nenhum eliminou ainda totalmente os IDs de utilizador e as passwords. Enquanto este for o caso, pare de dizer a si próprio que não há problema em usar a mesma palavra-passe para vários sites. Os gestores de passwords são óptimos para gerar palavras-passe longas e únicas para todos os seus sites e aplicações. Chegou finalmente a hora de rever e actualizar todos os seus logins.
Porquê? A única razão pela qual partilha passwords entre sites e aplicações é para não ter de se lembrar de 40 passwords diferentes. Mas, assim que escolher um gestor de credenciais e começar a usá-lo em todos os seus dispositivos, pense nele como o gestor de contactos do seu smartphone. Quando foi a última vez que se lembrou do número de telefone de alguém? Dada a capacidade natural dos vários gestores de credenciais para inventar, gerir e preencher automaticamente passwords fortes e únicas para todos os sites e aplicações que usa, simplesmente faça-o. Pode levar vários fins de semana para actualizar todas as passwords (dica: clique nos links de “palavra-passe esquecida” para acelerar o processo). Mas o investimento compensará mais tarde.
Proteja a sua passkey com um autenticador itinerante
A FIDO Alliance define um “autenticador itinerante” (Roaming Authenticator) como um dispositivo separado no qual as passkeys podem ser guardadas e recuperadas de forma segura. Exemplos são chaves de segurança de hardware (por exemplo, as Yubico), telemóveis e tablets Android recentes, que podem funcionar como uma chave de segurança de hardware. Uma vez que as credenciais para o gestor de credenciais são literalmente as chaves para todo o seu reino digital, elas merecem alguma segurança extra especial.
Primeiro, memorize o ID de utilizador e a palavra-passe do seu gestor de credenciais. De todos os ID de utilizador e palavras-passe, é o único que vale a pena decorar. O próprio gestor de credenciais lembra-se do resto por si. Depois, como cópia de segurança, em vez de guardar a passkey do gestor de credenciais no próprio gestor de credenciais, guarde-a num autenticador itinerante. Além das credenciais que guardou no seu cérebro, esse autenticador itinerante torna-se a sua chave física para todo o reino.
Depois… considere comprar um segundo autenticador itinerante como cópia de segurança do primeiro. Crie outra passkey para o seu gestor de credenciais e guarde-a na cópia de segurança. Coloque a cópia de segurança num lugar seguro, protegido de qualquer coisa má que possa acontecer ao seu autenticador itinerante principal.
Porquê? Existem vários cenários em que guardar a sua passkey num autenticador itinerante faz sentido. Talvez o cenário mais importante seja aquele em que a sua família precisa de aceder às suas contas em caso de incapacidade ou morte. Poderia dar-lhes o ID de utilizador e a palavra-passe do seu gestor de credenciais, e alguns gestores de credenciais oferecem uma opção de “partilhar com um membro da família”. Mas isso coloca um grande fardo sobre eles para manterem essa informação num lugar onde não seja esquecida e protegê-la de agentes maliciosos. Ao guardar essas credenciais num dispositivo físico, está a construir a base de uma estrutura legal em que a única vez que alguém, incluindo membros da família, pode entrar na posse das chaves do seu reino é quando você ou um documento legal o considerarem necessário.
Use passkeys sempre que possível
Actualmente, apenas um punhado de sites e aplicações em todo o mundo suportam passkeys, e as implementações podem variar enormemente de um site ou aplicação para o outro. Ainda assim, agora é uma óptima altura para criar o hábito de as configurar, usá-las e ajustar-se às diferenças subtis entre as várias implementações.
Porquê? Criar o hábito de usar passkeys para alguns dos seus sites e aplicações favoritos reduz a probabilidade de ser vítima de phishing ou smishing para obter os seus ID de utilizador e passwords. Quando um phisher ou smisher tenta obter as suas credenciais para um site ou aplicação para o qual tem usado passkeys, os seus sentidos de aranha devem começar a formigar. É o seu cérebro a dizer: “Alto aí! Este site dá-me sempre a opção de iniciar sessão com a minha passkey, e agora não vejo essa opção.” Com boa razão. Depois de estabelecer uma passkey para um determinado website ou aplicação, ela só funciona com esse site ou aplicação.
Outra razão tem a ver com essas diferenças subtis entre implementações. Esperemos que, com o tempo, a maioria dos sites e aplicações gravitem para as mesmas experiências de utilizador de passkeys reconhecíveis e repetíveis. Mas ainda não chegámos lá. Assim que começar a usar passkeys, será apenas uma questão de horas até encontrar alguma adversidade. E depois mais adversidade. Bem, a adversidade tem as suas vantagens; tornar-se-á mais resiliente quando encontrar uma dificuldade. A prática leva à perfeição. Em pouco tempo, tornar-se-á um utilizador avançado de passkeys.
Dê um nome às passkeys sempre que possível
Infelizmente, a possibilidade de dar um nome a uma passkey nem sempre está disponível. Mas alguns operadores de sites e aplicações pensaram muito na sua experiência dos utilizadores de passkeys e possibilitam a atribuição de um nome amigável a uma ou mais passkeys. Se isto for possível num qualquer site o app, aproveite a oferta.
Porquê? Uma das coisas interessantes sobre o padrão passkey é que pode ter várias passkeys para o mesmo site ou aplicação. Por exemplo, para um determinado site, pode ter uma passkey que funciona com o gestor de credenciais no seu computador de trabalho, outra passkey que funciona com o gestor de credenciais no seu sistema pessoal, outra passkey que funciona num autenticador itinerante, e assim por diante. Digamos que estabelece duas passkeys para o mesmo site, uma para o seu sistema de trabalho e outra para o seu computador pessoal. Para o site mantê-las organizadas (algo que o site tem de fazer), pode dar-lhes nomes predefinidos como “Passkey #1” e “Passkey #2”. Mas como é que sabe qual delas corresponde a qual sistema? Se puder chamar-lhes “Passkey – Trabalho” e “Passkey – Casa”, o problema fica resolvido.
Porquê? Actualmente, uma área particularmente pouco evoluída do ecossistema de passkeys tem a ver com a eliminação das passkeys. Por exemplo, digamos que decide mudar de gestor de credenciais no seu computador pessoal do 1Password para o BitWarden ou vice-versa. As passkeys não são facilmente transferíveis de um gestor de credenciais para outro. Para fazer a mudança, provavelmente terá de criar passkeys para o novo gestor de credenciais e eliminar as antigas. Mas se for a um site e as duas passkeys que já criou se chamarem “Passkey #1” e “Passkey #2”, não saberá qual eliminar. Mas se dedicou tempo a dar um nome a essas passkeys quando as estabeleceu pela primeira vez, consegue identificar qual é a passkey tem de apagar e qual tem de manter.
A FIDO Alliance está ciente de que o processo de eliminação de passkeys é demasiado complicado e está a procurar maneiras de tornar o processo mais fácil de usar.
Não desista (ainda) dos seus ID de utilizador e passwords
Sim, comece a usar passkeys. Mas não elimine os seus ID de utilizador e passwords. Ainda não. Alguns sites e aplicações estão a começar a permitir que os utilizadores eliminem as suas palavras-passe. Por outras palavras, os responsáveis pelos serviços online estão a dar pequenos passos em direcção a esse futuro sem passwords. Quando esta opção existir, espere até estar 100% certo de que as suas passkeys funcionam onde devem funcionar e que compreende totalmente o processo de recuperação de uma falha de passkey.
Porquê? Já tivemos um problema com uma passkey na aplicação móvel do PayPal. Uma passkey que funcionava para iniciar sessão no site do PayPal não funcionou como deveria ao iniciar sessão na aplicação móvel do PayPal para Android. Dado o número de entidades envolvidas em todos os fluxos de trabalho de passkey de ponta a ponta, não está claro quem ou o quê é foi responsável pelo problema. No entanto, iniciar sessão na aplicação do PayPal exigiu a utilização de um ID de utilizador e de uma password. Isto não teria sido possível se o ID de utilizador e a palavra-passe tivessem sido eliminados.
Estas anomalias com as passkeys sugerem que a indústria ainda não está totalmente pronta para abandonar os ID de utilizador e as passwords. Portanto, mantenha os seus até que a situação melhore e não baixe a guarda quando se trata de phishers e smishers.
Onde as passkeys não estiverem disponíveis, active a autenticação de dois factores
Muitos sites e aplicações ainda não suportam passkeys. Além disso, os códigos únicos que lhe são enviados para autenticação são agora considerados vulneráveis.
Na ausência de uma opção que permite a utilização de uma passkey e considerando a potencial vulnerabilidade dos códigos únicos, deve reforçar os seus ID de utilizador e palavras-passe com os melhores factores de autenticação adicionais possíveis.
A seguir às passkeys, a melhor opção é usar uma aplicação de autenticação como as da Google, Microsoft, Symantec e Yubico. Com as aplicações de autenticação, os códigos nunca são transmitidos por canais de comunicação que podem ser comprometidos. Para ter uma protecção extra, certifique-se de que a sua aplicação de autenticação não pode ser aberta sem um PIN ou password.
Se não puder usar uma aplicação de autenticação com as suas credenciais, receber um código único por e-mail é provavelmente melhor do que recebê-lo por SMS. Os e-mails são encriptados durante pelo menos parte da sua viagem do remetente para o destinatário. Ao contrário, as mensagens SMS normalmente não são encriptadas.
As melhores práticas de segurança pessoal envolvem sempre um equilíbrio entre conveniência e segurança. Se a segurança dos sites, aplicações e dispositivos for demasiado apertada, a sua utilização pode tornar-se demasiado inconveniente. Se balançar o pêndulo demasiado para o outro lado, expõe-se a problemas e consequências inevitáveis. Este equilíbrio será diferente de pessoa para pessoa.
Implemente a melhor prática possível em cada camada da sua segurança pessoal. Por exemplo, passwords robustas e únicas para cada site e aplicação minimizarão os danos se um agente malicioso descobrir de alguma forma uma das suas passwords. Adicionar um segundo factor de autenticação apresenta um obstáculo formidável se uma das suas passwords for comprometida. E assim por diante. Onde existirem as opções para colocar essas camadas adicionais de segurança a funcionar, aproveite-as.
Quando disponíveis, descarregue e guarde códigos de recuperação
Infelizmente, existe um lado negro pouco conhecido da autenticação de dois factores: o que acontece quando perde o acesso a esses factores adicionais de autenticação? Por exemplo, e se perder o smartphone que tem a aplicação de autenticação de que precisa para se autenticar num site? Se não conseguir apresentar o segundo factor necessário para provar que é a pessoa que diz ser, pode ser um impostor.
Quando um site lhe oferecer códigos de recuperação secretos, aceite-os e guarde-os num lugar seguro.
A maioria dos operadores de sites e aplicações que suportam autenticação de dois factores oferece um plano de backup baseado em códigos de recuperação secretos. Estes são códigos que o site ou aplicação lhe disponibiliza (mas apenas enquanto estiver com sessão iniciada e, mesmo assim, por vezes requer reautenticação para os descarregar). Se as suas outras formas de autenticação falharem, esse site ou aplicação pedir-lhe-á um dos seus códigos de recuperação para iniciar o processo de recuperação da conta. Os códigos de recuperação secretos são a última linha de defesa para provar ao operador do site ou aplicação que é quem diz ser.
Quando um site lhe oferecer códigos de recuperação secretos, aceite-os e guarde-os num lugar seguro. Guardá-los num ficheiro num dos seus dispositivos é melhor do que nada, mas não é aconselhável. Se um hacker os descobrir de alguma forma, pode facilmente invadir as suas contas.
Porquê? Cada vez mais, esperamos que mais operadores de sites e aplicações adoptem a mesma postura que o site de desenvolvimento de aplicações GitHub agora adopta. Suponha que configura a sua conta GitHub para autenticação de dois factores com uma aplicação de autenticação e perde o acesso a essa aplicação. Nesse caso, a única maneira de recuperar o acesso é com um dos códigos de recuperação que devia ter descarregado quando teve a oportunidade. A equipa de suporte do Github assume que qualquer pessoa que tente obter acesso a uma conta sem as credenciais ou códigos de recuperação adequados é um impostor. À medida que mais sites e aplicações adoptam esta linha dura, os códigos de recuperação serão a única salvação.
Use várias cópias de um gestor de credenciais no mesmo sistema
Alguns utilizadores usam vários perfis no browser no mesmo PC. Por exemplo, um perfil pode ser personalizado para todos os assuntos pessoais, enquanto outro é para todas as coisas relacionadas com trabalho. A maioria dos browsers mantém os perfis separados, pelo que tem de instalar cópias separadas das extensões que usa, incluindo extensões dos gestores de credenciais, em cada perfil.
A boa notícia: depois de instalar cópias separadas da extensão do gestor de credenciais em cada um dos perfis do browser, ainda pode associar cada extensão à mesma conta de gestão de credenciais que usa. Isto pode simplificar a estratégia de gestão de credenciais, desde que não se importe que um único gestor de credenciais lide com as suas credenciais pessoais e de trabalho, e que as políticas de TI do seu empregador permitam tal configuração. Alguns empregadores podem não o permitir ou exigir que use um gestor de credenciais diferente daquele que escolheu para uso pessoal.
Em conclusão
O caminho para qualquer nova tecnologia disruptiva pode disruptivo. E as passkeys enquadram-se definitivamente nessa categoria. Tanto que muitos sites de tecnologia dizem coisas como “a tecnologia de passkeys é elegante, mas definitivamente não é segurança utilizável”. Dado o estado actual desta tecnologia, é compreensível que se possa dizer isso. Mas, ao mesmo tempo, existem tantos benefícios para as passkeys que os utilizadores finais têm de promover activamente a sua adopção, mesmo que o caminho seja um pouco acidentado.
