ETenho lutado para entender a ideia de que uma chave de acesso, que pode ser um PIN no seu telefone, ou reconhecimento facial, pode ser mais segura do que usar uma senha complicada e autenticação de dois fatores.
Entendo que ter algo exclusivo para o seu dispositivo, não armazenado no servidor de uma empresa, é anti-phishing e menos hackeável por cibercrimes, mas e se o seu telefone for roubado e alguém adivinhar a senha? E se você perder seu telefone?
Desculpe se isso parece simplista, mas estou realmente perplexo ao entender por que o Centro Nacional de Segurança Cibernética do Reino Unido e outros que sabem sobre essas coisas são tão vendidos em chaves de acesso. Alguém que os usou pode me esclarecer? Martin Avis, Chester
Envie novas perguntas para nq@theguardian.com.
Resposta dos leitores
A pergunta é legítima e merece uma resposta adequada. Primeiro, as chaves de acesso são mais seguras do que as senhas, simplesmente porque o login usando uma senha é vulnerável a um hacker em qualquer lugar do mundo, enquanto uma chave de acesso física é vulnerável apenas a um hacker que pode roubar seu telefone (já que a criptografia usada por uma chave de acesso está fora do alcance de hackers por qualquer pessoa, exceto atores estatais – e eles não precisam hackear sua conta bancária). Em segundo lugar, quando alguém rouba seu telefone, você tende a perceber muito rapidamente e pode cancelar (revogar) a chave de acesso de suas contas; se sua senha de login for hackeada, você poderá não perceber por muito tempo. Nenhum sistema de segurança é perfeito, mas as chaves de acesso ainda são um bom avanço em comparação com uma senha. wyldfam
As chaves de acesso são uma proteção boa e forte – muito melhor que as senhas. Crie um PIN de 10 dígitos em seu telefone a partir de números aleatórios e lembre-se dele para que seja uma segunda natureza. Em um iPhone, ative “Proteção de dispositivo roubado”. (No Android, é verificação de identidade.) E se você realmente leva a segurança a sério, ative o “Modo de bloqueio” do iOS (ou o “Modo de proteção avançada” do Android). Essa é a minha opinião. TechGirl
As senhas são baseadas em uma fraqueza inerente conhecida como “segredo compartilhado”. Ou seja, sua senha deverá ser “compartilhada” entre você e o site que está acessando. Isso ocorre para que sua senha possa ser enviada ao site e verificada quando você fizer login. O problema é que se um servidor for hackeado e seus dados roubados, sua senha poderá ser retirada dos dados hackeados e reutilizada pelo hacker sem o seu conhecimento.
As chaves de acesso não têm essa fraqueza. Uma chave de acesso é (muito simplesmente) um valor realmente complexo que serve de início para um cálculo matemático, cujo resultado é enviado ao site. Verifica-se então que esse resultado matemático veio apenas da sua chave de acesso, usando um valor complexo totalmente diferente. A beleza é que sua chave de acesso nunca é enviada para o site (apenas o resultado é); portanto, se o site for hackeado, sua chave de acesso não poderá ser roubada e não poderá ser reutilizada. As chaves de acesso são armazenadas em seu telefone, laptop ou gerenciador de senhas e desbloqueadas usando um simples PIN ou biometria, por isso são super fáceis de usar, ao mesmo tempo que mantêm a tecnologia subjacente altamente segura. Há mais benefícios em usar chaves de acesso, embora serem fáceis de usar e “anti-phishing” sejam os mais óbvios. Se puder escolher, escolha sempre a chave de acesso. gh05ted
Eu realmente não consigo entender essas respostas. Tenho tendência a não usar coisas que não entendo. Minhas senhas estão parcialmente escritas em um pedaço de papel. Os relatos aos quais eles se referem estão em uma peça separada, em um lugar diferente, escritos de uma forma que só eu poderia entender. Eu uso autenticação de dois fatores quando necessária ou disponível. Eu não uso um gerenciador de senhas. Boa sorte se você conseguir hackear isso. Estou muito desconfiado de tudo isso. Suspeito que sejam as empresas de software tentando se auto-fabricar de coisas que não precisamos e tornando as coisas mais complicadas do que precisam. dannytheclown
Todo o assunto parece muito confuso. Meu entendimento inicial sobre as chaves de acesso, depois que a Microsoft sugeriu seu uso no meu PC, era que elas deveriam ser simplesmente uma conveniência, porque eram mais fáceis de inserir do que as senhas. A publicidade recente indica agora que eles deveriam ser mais seguros porque estão vinculados ao hardware e não podem ser usados remotamente por hackers. Por outro lado, você pode sincronizá-los entre dispositivos, o que parece introduzir possíveis vulnerabilidades.
Entre impressões digitais, pins, senhas, chaves de acesso, gerenciadores de senhas, autenticação de dois fatores por meio de aplicativos ou mensagens de texto – sem mencionar a oferta do Google, Apple ou Windows para salvar e inserir suas senhas (e chaves de acesso?) automaticamente – acertar na segurança é um campo minado para Joe (ou Joanna) Bloggs. Obter acesso ao seu sistema novamente se ele travar e você esquecer as senhas importantes depois de anos permitindo que ele faça logon sozinho também é um risco grave. GordonLiv
Resisti ao uso de uma chave de acesso porque ela está vinculada a um único dispositivo. O que acontece se eu quiser acessar minha conta bancária e estiver longe do meu desktop? Então preciso ter chaves de acesso no meu laptop e talvez no meu telefone também. Neste último caso, minha segurança só se torna tão segura quanto meu telefone (que pode facilmente acabar nas mãos de outras pessoas). O que acontece se eu perder o acesso a todos os meus dispositivos e precisar receber dinheiro com urgência? Portanto, continuo usando uma senha. Cada site de alto valor tem sua própria senha muito diferente, que não fica armazenada em um gerenciador de senhas, mas na minha memória. E num pedaço de papel, que posso levar comigo em viagens – mas que contém as informações de forma incompleta e codificada, portanto seria inútil para qualquer outra pessoa. Não é tão forte quanto uma chave de acesso vinculada a um único dispositivo – mas é improvável que me deixe preso. Jiminoz
Eca. Lembro-me da minha infância e da minha vida adulta, quando sua “senha” era sua assinatura. Não pedimos este mundo complicado – disseram-nos que a vida seria muito mais fácil quando nos conectássemos para fazer isto ou aquilo. Não tivemos escolha em nada disso e agora vejam onde estamos. O fardo de nos protegermos da vida que não pedimos recai diretamente sobre nós. E, claro, a culpa é nossa quando somos hackeados. Para esse fim, continuarei com meu gerenciador de senhas. Elle Woods
Desde setembro de 2024, o Instituto Nacional de Padrões e Tecnologia dos EUA parou de recomendar “impor requisitos arbitrários de complexidade de senha, como misturar letras maiúsculas e minúsculas, números e caracteres especiais. Em vez disso, o foco mudou para o comprimento da senha como o principal fator na força da senha”. O web comic XKCD explica por que as senhas são melhores que as senhas. mu5epen7ra
Quando eu morrer, como posso garantir que meu executor possa acessar minha chave de acesso para controlar minhas contas? BarnerCobblewood
Em resposta: Use um gerenciador de senhas e armazene a “raiz de confiança” em um pedaço de papel físico e guarde-o em local seguro. Armazenar uma “raiz de confiança” para o seu gerenciador de senhas significa armazenar informações suficientes para recuperar o acesso à sua conta do gerenciador de senhas, mesmo se você perder todos os seus dispositivos. Normalmente, inclui códigos de recuperação longos e aleatórios. Por exemplo, 1Password gera um “kit de emergência” como parte da configuração inicial. Este é um PDF que você imprime fisicamente exatamente para esse propósito. Um parente ou executor pode usar o kit de emergência para restabelecer o acesso ao seu gerenciador de senhas e a todos os seus dados. jmsgwd
Eu ia contar para vocês como uso senhas, mas agora que li todos os comentários estou com medo de revelar alguma coisa. Verde dourado