O começo do fim das senhas

A grande extinção da senha já está em andamento

Imagine um mundo sem senhas.

Você ainda pode fazer login em todas as suas contas online neste novo mundo sem senha. Dos sites WordPress ao seu banco, é mais fácil e seguro do que nunca criar e acessar contas online — sem senhas.

Não seria um alívio? Boas notícias: a extinção global da senha já está acontecendo, e a vida do outro lado dela é melhor.

No final de 2022, a Apple introduziu o suporte de senha para iOS 16 e MacOS 13 “Ventura”.

Ontem, o Google anunciou que está “lançando suporte para chaves de acesso nas contas do Google em todas as principais plataformas”.

Na iThemes, estamos muito orgulhosos de nosso produto Security Pro ter sido o primeiro a trazer senhas e outros métodos de autenticação sem senha para o WordPress.

Como é possível uma vida sem senha?

Cerca de um mês depois de começar a usar um Apple Watch, ele começou a desbloquear e fazer login automaticamente em meus computadores desktop e laptop que executam a versão atual do MacOS. Não me lembro de fazer mais do que ativar o suporte de senha do MacOS para usá-lo com minhas contas do Google e iThemes Security. Aparentemente, isso também permitiu que meu relógio se tornasse um dispositivo de senha confiável.

Anteriormente, o login biométrico do Apple Touch era a alternativa de senha mais acessível que eu tinha. Agora é o meu relógio. Às vezes, se eu estiver ausente por tempo suficiente, ainda preciso digitar minha senha, mas meu relógio torna isso muito menos comum, graças a uma chave de acesso comum conectada ao meu ID Apple e a todos os meus dispositivos Apple.

As chaves de hardware, como o YubiKey, oferecem a mesma experiência de login sem senha - sem a necessidade de dispositivos Apple.

Os dispositivos Windows e Android suportam logins sem senha, também graças às senhas.

O que são chaves de acesso?

Você pode agradecer ao código aberto pelas senhas. A tecnologia Passkey é baseada em padrões abertos definidos pela aliança FIDO (“Fast Identity Online”). Desenvolvida pelo W3C, a API WebAuthn faz parte do padrão FIDO2. É o WebAuthn que permite que as senhas executem de forma rápida e fácil a autenticação sem senha entre plataformas.

As senhas são identificadores digitais criptografados exclusivos gerados por um dispositivo de autenticação, como seu smartphone. A criptografia de chave pública é usada para criar um par de chaves pública e privada. Juntos, esse par de chaves forma sua chave de acesso no dispositivo de autenticação. Cada um de seus dispositivos pode ter uma chave privada exclusiva, mas sua chave pública é compartilhada na web. Provavelmente, você nunca verá nenhum deles. Ninguém irá.

Seu telefone ou outro dispositivo compatível com senha verifica você como um usuário autorizado quando você insere uma senha, um PIN ou passa em um desafio biométrico. Depois de fazer isso, seu telefone e sua senha funcionam como uma chave para dispositivos e aplicativos adicionais. Em vez de ter que digitar uma senha novamente em seu laptop e novamente para fazer login no WordPress, seu telefone diz ao seu computador para deixá-lo entrar. Em seguida, seu sistema operacional diz ao seu navegador para pedir ao WordPress para deixá-lo entrar - tudo sem uma senha.

Se seus dispositivos e sites estiverem configurados para senhas, essa é uma experiência muito tranquila. Pode ser necessário fornecer um PIN ou passar por um rápido desafio biométrico, mas é muito mais simples do que preencher três formulários de login diferentes sem reciclar suas senhas ou usar senhas fracas. E se você odeia a autenticação de dois fatores (2FA), não há mais necessidade de usá-la. ¹

Por que as senhas substituirão as senhas

Inicialmente, as senhas estão surgindo como uma opção de autenticação juntamente com senhas e 2FA. Você pode usar qualquer um deles. Mas com o tempo, poucas pessoas vão querer reter senhas inseguras ou lidar com códigos 2FA demorados. As chaves de acesso rapidamente se tornarão a opção preferida pelos seguintes motivos:

1. Segurança melhorada. Uma das principais razões pelas quais as chaves de acesso substituirão as senhas é a segurança aprimorada que elas oferecem. Muitas violações de dados resultam de senhas fracas ou roubadas, destacando a vulnerabilidade da autenticação tradicional baseada em senha. A criptografia de chave pública por trás das senhas é significativamente mais difícil de decifrar.

2. Melhor experiência do usuário. Lembrar-se de muitas senhas complexas para suas contas on-line pode ser difícil e geralmente leva a práticas inadequadas de senha. As senhas simplificam o processo de autenticação. Você só precisa de um dispositivo que armazene sua chave de acesso para acessar qualquer conta que ofereça suporte à autenticação de chave de acesso. Essa experiência conveniente do usuário incentiva a adoção de senhas como um método de autenticação seguro.

3. Gerenciadores de Senhas Opcional. As senhas podem diminuir, se não eliminar, a necessidade de gerenciadores de senhas tradicionais. Embora os gerenciadores de senhas ofereçam uma alternativa ao armazenamento de várias senhas, eles também apresentam riscos adicionais. Esses cofres de senha podem se tornar um único ponto de falha. Como vimos com o LastPass, uma plataforma de gerenciamento de senha violada pode expor todas as contas, senhas e informações pessoais de seus clientes.

O futuro sem senha: como será

Existem três grandes vantagens para o eclipse de senhas por chaves de acesso, mas sua linha comum é a maneira como as chaves de acesso beneficiam a segurança e a simplicidade.

As vantagens

1. Autenticação perfeita. À medida que as senhas se tornam mais comuns, o processo de autenticação e acesso a serviços online se torna cada vez mais simples. Os usuários poderão fazer login em suas contas simplesmente usando seus dispositivos de armazenamento de senha ou métodos de identificação biométrica, como impressão digital ou reconhecimento facial.

2. Autenticação multifator facilitada. As chaves de acesso suportam inerentemente a autenticação multifator (MFA) combinando algo que o usuário conhece (a chave de acesso) com algo que o usuário possui (o dispositivo que armazena a chave de acesso). Essa integração perfeita de MFA no processo de autenticação levará a um ambiente online mais seguro sem sacrificar a experiência do usuário.

3. Redução de violações de dados. À medida que as senhas se tornam o novo padrão de autenticação, o número de violações de dados resultantes de senhas fracas ou roubadas provavelmente diminuirá. A segurança aprimorada fornecida pelas senhas tornará mais difícil para os cibercriminosos comprometer as contas dos usuários, levando a um cenário digital mais seguro.

Até agora, tem sido raro a autenticação segura vir com uma boa experiência do usuário. As senhas são uma grande exceção. Isso é fantástico, mas sempre há desvantagens.

As Desvantagens

1. Phishing Sofisticado e Hacking Social. As chaves de acesso podem ser quase impossíveis de roubar e quebrar, mas os criminosos nunca desistem quando a segurança aumenta - eles se adaptam a novas ferramentas e encontram pontos fracos negligenciados para explorar. Hoje, as ferramentas de IA estão tornando mais fácil para qualquer um parecer fluente em qualquer idioma, o que é um grande trunfo para quem quer enganar os outros para que confiem neles. Grandes violações de senha podem desaparecer no passado, mas phishing e hacking social podem se tornar mais sofisticados e predominantes.

2. Segurança Física e Privacidade. Meus dispositivos Apple não conseguem dizer que não sou eu quando minha filha canhota usa meu relógio em seu pulso menor na mão oposta. Tudo o que ela precisa é do meu relógio e do PIN de 4 dígitos para fazer login no meu computador. ² Um ladrão poderia fazer isso — a polícia também. ³ À medida que nossos relacionamentos com nossos dispositivos se tornam mais complicados fisicamente, surgem muitas questões difíceis sobre privacidade pessoal. ⁴ O anonimato online, que já está em declínio, pode desaparecer.

3. As pessoas também compartilharão senhas. Os gerenciadores de senhas são amplamente usados ​​para compartilhar senhas, o que é uma prática de segurança terrível, seja como for. Uma senha compartilhada eventualmente se tornará uma senha roubada. Felizmente, é improvável que você veja, muito menos memorize, escreva ou envie por e-mail uma senha para um colega de trabalho ou amigo. No entanto, você pode usar alguns gerenciadores de senhas para armazenar e até mesmo compartilhar senhas agora. Existem maneiras seguras de fazer isso, mas tenho dúvidas de como funcionará na prática. Seja como for, compartilhar segredos é inerentemente inseguro. (Um segredo compartilhado não é mais um segredo.) O compartilhamento de dados ou informações confidenciais depende muito da confiança entre as pessoas, e esse é sempre um vínculo fraco - consulte os pontos 1 e 2 acima.

Pensamento de segurança versus “não me faça pensar”

Quaisquer que sejam os desafios que temos pela frente no futuro sem senha, nós iremos lá. As senhas são quebradas - elas são um método terrível de autenticação e precisam morrer - quanto mais cedo, melhor. A adoção da autenticação sem senha melhorará nossas experiências on-line e ajudará a proteger nossas vidas digitais. Não ter que se preocupar tanto com segurança e gerenciamento de senhas é um grande alívio.

Por outro lado, “Don't Make Me Think” é um excelente objetivo em experiência do usuário e design de interface, mas pode ser um desastre para a segurança. A simplicidade no design permite a eficiência dos usuários e impõe uma carga cognitiva menor sobre eles. As chaves de acesso oferecem essa simplicidade excepcionalmente bem. Mas eles não devem nos tornar mais complacentes com os riscos de segurança em potencial em um mundo de ameaças em constante evolução.

Alimentado por senhas e sua adoção em todas as principais plataformas, o futuro da web será uma experiência mais segura e amigável ao acessar serviços online. Os dias de luta para lembrar senhas complexas (e compartilhá-las ou reciclá-las) logo serão coisa do passado, e isso é uma melhoria definitiva.

Já é hora de elevar nossos padrões básicos de segurança também. As chaves de acesso farão isso e espero que isso ajude a tornar o cibercrime, a fraude e o roubo de identidade mais difíceis e raros. Comece a usá-los agora e, se você tiver sites WordPress, considere tornar as senhas uma opção para fazer login neles. Continue pensando em segurança também. Pergunte o que significa segurança e como as ameaças podem mudar no novo contexto de um mundo sem senhas.

Notas:

1. Relatórios como “Eu me tranquei fora da minha vida digital” e “Gmail 2FA faz com que os sem-teto percam o acesso permanentemente três vezes por ano” mostram as desvantagens da autenticação de dois fatores.
2. Um Apple Watch pode não ser a melhor chave de segurança sem uma autenticação biométrica, como o Touch ID. Com base em algumas das patentes recentes da Apple, uma versão do Touch ID baseada na palma da mão pode estar em andamento.
3. A Electronic Frontier Foundation expressou preocupação com possíveis violações de direitos civis se a aplicação da lei usar senha de acesso a um dispositivo para pesquisar muitos outros dispositivos e contas online.
4. A identificação de assinaturas biométricas únicas a partir de dados biológicos coletados por relógios e dispositivos semelhantes também pode ser possível, pois podem detectar o início precoce de doenças como o COVID.

Dan Knauss

Dan Knauss é generalista de conteúdo técnico da StellarWP. Ele é escritor, professor e freelancer trabalhando em código aberto desde o final dos anos 1990 e com WordPress desde 2004.