Atualmente, existe uma maneira principal de protegermos o acesso online: nome de usuário e senha. No entanto, mesmo que criemos uma senha longa, complicada e complexa, ainda resta uma fraqueza importante nessa configuração de segurança: o usuário.
Milhões já foram vítimas de sites de phishing, engenharia social e outras formas de ataques que comprometem senhas. É por isso que a Apple quer remover a senha e substituí-la por senhas.
Então, como as chaves de acesso da Apple resolvem o problema da senha?
O que é o padrão de autenticação da Web (WebAuthn)?
Este padrão é publicado pelo World Wide Web Consortium (W3C), uma organização dedicada à construção de protocolos e diretrizes para desenvolvimento web de longo prazo. Ao desenvolver essa nova tecnologia de autenticação, o grupo espera reduzir nossa dependência de senhas como a principal ou única maneira de proteger nossos dados.
A Apple também é membro do W3C e está incorporando o padrão WebAuthn nas chaves de acesso da Apple. Esse recurso também funciona com o iCloud Keychain, para que as pessoas que já usam esse serviço não precisem migrar seu sistema.
Ao implementar a API WebAuthn, desenvolvedores da Web e fabricantes de dispositivos garantem uma autenticação que funcionará em diferentes sistemas. Portanto, se você estiver no Android, iOS, Mac ou Windows, esse sistema sem senha deve funcionar.
Como as chaves de acesso da Apple mantêm você seguro?
A maioria de nós confiou em nome de usuário e senhas em algum momento. Você provavelmente ainda faz agora. Mas as senhas podem ser facilmente hackeadas, especialmente se o usuário não tiver uma senha segura ou se for vítima de engenharia social.
A combinação tradicional de nome de usuário e senha também significa que essas informações são armazenadas online. Portanto, se o serviço que você está usando, como o Twitch, por exemplo, for hackeado, o ataque comprometerá os dados e muito mais. Se você reutilizar seu nome de usuário e senha, o que muitos fazem, mas desaconselhamos, suas outras contas também correm risco.
Autenticação de dois fatores (2FA) foi desenvolvido para resolver este problema. Ao adicionar outra camada de segurança, os usuários ajudam a impedir o acesso não autorizado às suas contas.
Embora essa tecnologia tenha aumentado drasticamente a segurança, especialmente contra ataques de força bruta, muitos usuários ainda são vitimados por ataques de engenharia social. E enquanto os usuários com experiência em tecnologia podem detectar facilmente os ataques, aqueles que não estão tão familiarizados podem não ser capazes de detectar os sinais de ataques como golpes de phishing.
As chaves de acesso da Apple visam resolver esse problema removendo completamente a senha. Ao fazer login em um serviço online, você não precisa mais digitar seu nome de usuário e senha. Em vez disso, você só precisa usar os recursos de segurança biométrica do seu dispositivo, como FaceID ou TouchID.
O serviço também não se limita apenas ao seu dispositivo Apple. Você pode usar chaves de acesso em seu PC Windows ou tablet Android. Contanto que você esteja acessando um site que implemente a API WebAuthn, você pode usar os recursos biométricos do seu dispositivo Apple para fazer login em sua conta, mesmo se estiver acessando em um gadget que não seja da Apple. É como usar seu dispositivo Apple como uma chave universal que pode abrir qualquer porta digital.
Como funcionam as chaves de acesso da Apple?
Em vez de manter o nome de usuário e a senha juntos online, as chaves de acesso da Apple usar criptografia assimétrica. De acordo com Página de suporte de segurança de chaves de acesso da Apple:
Durante o registro da conta, o sistema operacional cria um par de chaves criptográficas exclusivo para associar a uma conta do aplicativo ou site. Essas chaves são geradas pelo dispositivo, de forma segura e exclusiva, para cada conta.
Uma dessas chaves é pública e é armazenada no servidor. Esta chave pública não é um segredo. A outra chave é privada e é o que é necessário para realmente entrar. O servidor nunca aprende qual é a chave privada. Em dispositivos Apple com Touch ID ou Face ID disponíveis, eles podem ser usados para autorizar o uso da senha, que autentica o usuário no aplicativo ou site. Nenhum segredo compartilhado é transmitido e o servidor não precisa proteger a chave pública.
Quando você usa um nome de usuário e senha, o servidor mantém o bloqueio (seu nome de usuário) e a chave (sua senha). Para abrir a fechadura, você mostra ao servidor que possui uma chave semelhante e ele abre a porta para você.
Mas com as chaves de acesso da Apple, o servidor nunca terá a chave. Em vez disso, ele lhe entrega o cadeado e você mesmo o desbloqueia. E como o servidor só entregará o cadeado se o tiver fisicamente (ou seja, seus dados estão realmente armazenados em seu servidor), os hacks de phishing se tornarão ineficazes porque não têm o cadeado (ou seja, não podem pedir a chave, porque as chaves de acesso da Apple só a liberarão se entregarem um trancar).
Com esse sistema, apenas a entidade válida pode solicitar uma chave de acesso, garantindo que os usuários sejam menos propensos a serem vítimas de golpes de phishing e outros ataques de engenharia social. Também é muito mais conveniente, pois os usuários não precisam mais se lembrar de uma infinidade de credenciais de login. Tudo o que eles precisam é estar logado em seu ID Apple protegido por 2FA.
Outro exemplo de um sistema sem senha
Embora a Apple possa ser a primeira a ser efetivamente incorporada a um sistema operacional de smartphone, não é a primeira empresa a implementar sistemas sem senha. Se você possui uma conta da Microsoft, provavelmente já encontrou essa tecnologia.
Se você configurou logins sem senha com sua conta da Microsoft, você pode fazer login usando o aplicativo Microsoft Authenticator - sem necessidade de nome de usuário e senha. Embora esteja disponível principalmente no navegador Microsoft Edge, você também pode usar o Windows Hello ou um key para usar o aplicativo Microsoft Authenticator para fazer login em sua conta da Microsoft em outros navegadores, como o Google Cromada.
Dizendo adeus às senhas?
Embora nomes de usuário e senhas tenham protegido os usuários por quase 60 anos, eles podem ser chegando ao fim de suas vidas graças a melhores sistemas de segurança em outros lugares, que são mais fáceis de usar também. À medida que nos inscrevemos para mais e mais serviços, a ideia de memorizar dezenas, senão centenas, de combinações de nome de usuário e senha pode ser assustadora.
Os hackers também estão ficando mais sofisticados, permitindo que eles comprometam dados mesmo com segurança aprimorada. E embora a autenticação multifator tenha aumentado um pouco a segurança das credenciais de login tradicionais, ela ainda deixa o usuário como uma vulnerabilidade significativa.
Com as chaves de acesso, podemos avançar do nome de usuário e senhas para um futuro mais seguro. E à medida que novas tecnologias como a computação quântica são desenvolvidas e lançadas no mercado, a combinação tradicional de nome de usuário e senha corre o risco de se tornar obsoleta da noite para o dia.