Mordida de segurança: as chaves de acesso já deveriam ter eliminado a senha…

9to5Mac Security Bite é oferecido exclusivamente a você por Mosyle, a única plataforma unificada da Apple. Tudo o que fazemos é tornar os dispositivos Apple prontos para o trabalho e seguros para a empresa. Nossa abordagem integrada exclusiva para gerenciamento e segurança combina soluções de segurança de última geração específicas da Apple para proteção e conformidade totalmente automatizadas, EDR de última geração, Zero Trust com tecnologia de IA e gerenciamento de privilégios exclusivo com o Apple MDM mais poderoso e moderno do mercado. O resultado é uma plataforma unificada da Apple totalmente automatizada, atualmente confiável por mais de 45.000 organizações para deixar milhões de dispositivos Apple prontos para funcionar sem esforço e a um custo acessível. Solicite seu TESTE ESTENDIDO hoje e entenda por que o Mosyle é tudo que você precisa para trabalhar com a Apple.

Durante anos, os apoiadores otimistas anunciaram as chaves de acesso como o futuro do login e os slogans tradicionais como o caminho do passado. É elogiado como uma alternativa muito mais segura e sem atrito. Mas esta semana usei senhas normais para autenticação mais vezes do que posso contar.

Não me interpretem mal, a adoção de chaves de acesso tem sido impressionante. Mais sobre isso em breve. No entanto, não posso deixar de refletir sobre o estado atual do login e como o menor ainda é amplamente dominante na esteira de uma tecnologia muito melhor.

Uma chave de acesso são, na verdade, duas chaves criptográficas. Um privado que nunca sai do seu dispositivo e um público que fica no site em que você está fazendo login. Quando você faz login, seu dispositivo prova que possui a chave privada sem nunca enviar nada que um intermediário (cibercriminoso) possa capturar, e é por isso que as chaves de acesso não podem ser roubadas da mesma forma que uma senha digitada.

A melhor maneira que posso explicar: senhas são algo que você conhece, chaves de acesso são algo que você possui (dispositivo) ou algo que você é (ID biométrico).

Em seus dispositivos Apple, o Face ID ou Touch ID faz a verificação e sua chave privada fica no Secure Enclave. Se você usou vários dispositivos, o iCloud Keychain sincronizará com segurança as chaves privadas no iPhone, iPad e Mac, em seus respectivos limites protegidos por hardware do Secure Enclave.

Mais de 15 bilhões de contas agora podem fazer login com uma chave de acesso, de acordo com a FIDO Alliance, e o Google afirma que suas próprias chaves de acesso autenticaram usuários mais de um bilhão de vezes em mais de 400 milhões de contas. Na WWDC 2025, a Apple lançou uma nova ferramenta de criação de conta que permite que os aplicativos registrem você com uma chave de acesso desde o início, sem nenhuma senha. A Microsoft deu um passo além e tornou as novas contas sem senha por padrão.

No entanto, ainda há muita resistência por parte das empresas em adotar chaves de acesso. Recentemente, foi criado um novo site que envergonha sites populares que ainda não oferecem chaves de acesso aos usuários. Alguns nomes da lista chocam: Instagram, Spotify, Netflix.

A resistência na adoção se deve em grande parte à recuperação.

FIDO2, onde as chaves de acesso padrão são executadas, não possui fluxo de recuperação integrado. Se você perder todos os dispositivos que contêm suas chaves de acesso, seu recurso é, bem, um link de redefinição de e-mail. As chaves de acesso exatas do ponto fraco deveriam se tornar obsoletas. É por isso que as empresas de SaaS e outros sites mantêm o campo de senha antigo na tela de login como backup.

A portabilidade é outro problema, mas está sendo abordada rapidamente.

Como as chaves de acesso ficam no iCloud Keychain, no Google Password Manager, em diferentes navegadores, etc., esses cofres não se comunicam e, portanto, não podem entregar credenciais entre si. Mas isso está mudando lentamente. A Apple adicionou importação e exportação de chaves de acesso multiplataforma com iOS 26. O anúncio foi uma mudança notável de tom, dada a integração do ecossistema de chaves da Apple.

Até que o protocolo de troca de credenciais por trás dele funcione de forma limpa em todas as plataformas, a troca de ecossistemas pode transformar a ausência de senha em aprisionamento.

Suporte nativo para importação e exportação de senha no iPhone

DR

A criptografia em si é sólida e extraordinariamente mais resistente ao phishing. Não é um fim técnico. O problema com as chaves de acesso é mais operacional. A recuperação precisa ser confiável, a portabilidade precisa ser perfeita e os sites precisam realmente remover o campo de senha antes que a era da senha termine para sempre.

A Apple está à frente da maioria, com a experiência de ecossistema mais tranquila (nenhuma surpresa nisso) e suporte de exportação fornecido antes do Google. Mas até que as lacunas acima sejam fechadas, não acho que essas caixas de login irão a lugar nenhum tão cedo.

As chaves de acesso serão o futuro da autenticação… eventualmente.

Security Bite é o mergulho semanal do 9to5Mac no mundo da segurança da Apple. A cada semana, Arin Waichulis revela novas ameaças, preocupações com a privacidade, vulnerabilidades e muito mais, moldando um ecossistema de mais de 2 bilhões de dispositivos.

Siga Arin: Twitter/X, LinkedIn, Tópicos

Adicione 9to5Mac como fonte preferencial no Google
Adicione 9to5Mac como fonte preferencial no Google

FTC: Usamos links de afiliados automotivos para geração de renda. Mais.

Fuente