Há algumas décadas que usamos senhas para proteger nossas diversas contas e, para ser sincero, não somos muito bons nisso. Muitos de nós usamos as mesmas senhas simples e fáceis de lembrar para todas as nossas contas – convenientes para fazer login, mas horríveis para segurança. Um malfeitor (ou computador) não apenas será capaz de adivinhar essa senha facilmente, mas também tentará fazer isso em suas outras contas. Antes que você perceba, você terá diversas violações, algumas das quais podem envolver informações financeiras ou privadas.
Há uma série de etapas que você pode seguir para reforçar a segurança da sua senha, é claro. Primeiro, você pode usar uma senha complexa e exclusiva para cada uma de suas contas, certificando-se de nunca reutilizar uma senha. Uma senha bem elaborada pode ser impossível de ser adivinhada por um ser humano e virtualmente impossível de ser adivinhada por um computador. Mas mesmo que uma empresa perca sua senha em uma violação de dados, o uso da autenticação de dois fatores (2FA) pode protegê-lo ainda mais. Sem um dispositivo confiável que gere ou receba um código 2FA, sua senha se torna essencialmente inútil para hackers. E como você não repetiu as senhas, eles não poderão tentar isso em suas outras contas. É isso que faz deste combo uma estratégia vencedora.
Mas muitos de nós, se não a maioria, não utilizamos esta estratégia vencedora. Muitos ainda estão em risco, ou colocando as suas organizações em risco, com medidas de autenticação inseguras. Como tal, há um impulso para que os consumidores adotem uma nova forma de autenticação, algo que combine a conveniência das senhas com a segurança do 2FA, tudo sem que você precise se lembrar de nada: as chaves de acesso.
O que são chaves de acesso?
As chaves de acesso são um método de autenticação (relativamente) novo que oferece uma experiência semelhante às senhas, sem realmente envolver qualquer tipo de senha. A medida depende de algo chamado criptografia de chave pública: quando você cria uma nova conta com uma chave de acesso ou cria uma chave de acesso para sua conta existente, um “par de chaves” é gerado. Uma dessas chaves é pública e é armazenada pela empresa que administra a conta em questão. Esta chave não é secreta e, teoricamente, pode ser roubada ou perdida em caso de violação. No entanto, a outra chave é um segredo. Essa chave privada é armazenada em seu dispositivo – como um smartphone, tablet ou computador – e é usada para realmente autenticar sua identidade.
Para criar a chave de acesso, basta usar o método de autenticação integrado do seu dispositivo. Isso pode significar uma digitalização facial, uma digitalização de impressão digital ou um PIN. Depois de se autenticar com sucesso, a chave de acesso será estabelecida. Para fazer login no futuro, basta autenticar com um desses mesmos três métodos. Se for aprovado, o sistema verificará a conta que contém a chave pública para confirmar sua identidade e você estará dentro – sem necessidade de senha.
Suas chaves de acesso são armazenadas com segurança em seus dispositivos, normalmente em um “cofre”, como um chaveiro ou gerenciador de senhas. A Apple gera e armazena chaves de acesso no iCloud Keychain, por exemplo. Se você usar um gerenciador de senhas, como Bitwarden ou 1Password, poderá criar e armazenar chaves de acesso lá. Qualquer dispositivo que tenha acesso a esse gerenciador de senhas também poderá acessar a chave de acesso para autenticação.
No entanto, você não precisa fazer login nas suas contas no dispositivo que contém a chave de acesso. Se estiver usando um dispositivo diferente, como o computador de um amigo ou um tablet que não contém a chave de acesso, você terá a opção de usar seu dispositivo confiável para autenticar. Por exemplo, digamos que você queira verificar sua conta bancária no PC, mas sua conta usa uma chave de acesso armazenada no iPhone. Você pode optar por autenticar usando o dispositivo de chave de acesso, o que fará com que o site da conta apresente um código QR. Você pode escanear o código QR no seu iPhone, autenticar usando Face ID, Touch ID ou PIN e fazer login. É assim que o recurso funciona ao fazer login em contas em dispositivos que não armazenam chaves de acesso diretamente, como um PlayStation 5.
As chaves de acesso são seguras?
A resposta curta? Sim. As chaves de acesso são um método de autenticação extremamente seguro. Embora sejam muito mais seguros que as senhas, são ainda mais seguros que o 2FA. 2FA é ótimo e certamente melhor do que usar apenas uma senha, mas é possível que invasores roubem os códigos de autenticação, especialmente quando esses códigos são baseados em SMS. Isso pode ser tão sofisticado quanto invadir as plataformas que enviam seus códigos ou tão simples quanto um esquema de phishing: os golpistas podem se passar por representantes da conta em questão e induzi-lo a compartilhar seus códigos 2FA com eles. Como tal, o 2FA, embora seguro, tem uma falha inerente de phishing.
As chaves de acesso não têm essa falha. Você não pode ser induzido a fornecer uma de suas chaves de acesso, nem um hacker pode roubá-la do seu dispositivo. O sistema não solicitará que você se autentique, a menos que você esteja visitando o domínio exato da plataforma, o que significa que os golpistas não podem criar sites fictícios que induzam você a fazer login: o processo da chave de acesso simplesmente não será iniciado. É importante ressaltar que o login por meio de uma chave de acesso exige que o dispositivo confiável esteja fisicamente próximo do dispositivo no qual você está fazendo login. Dessa forma, um hacker não pode enviar a você uma imagem de um código QR, induzi-lo a digitalizá-lo e, em seguida, convencê-lo a se autenticar para fazer login. A menos que você esteja na mesma sala que o hacker, ele não receberá sua chave de acesso.
E se eu perder meu dispositivo?
Uma das preocupações mais comuns em relação às chaves de acesso é o que acontece quando você perde o dispositivo no qual a chave de acesso está armazenada. Afinal, se a chave secreta fica guardada apenas no seu smartphone, o que acontece se ela for perdida, roubada ou quebrada?
O que você acha até agora?
Acontece que existem algumas possibilidades aqui. Primeiro, é verdade que existe o risco de perder a chave de acesso caso você perca o acesso ao dispositivo confiável. Se você optar por armazenar suas chaves de acesso em uma chave de segurança física, como uma YubiKey, perder ou quebrar a chave vai significa perder sua chave de acesso. No entanto, dependendo da conta, você pode ter opções de recuperação, como responder a perguntas de segurança para provar sua identidade. Isso dependerá do caso, é claro: se sua conta tiver apenas uma chave de acesso configurada e essa chave de acesso estiver armazenada apenas em um dispositivo, você poderá perder o acesso à conta. Verifique se suas contas oferecem opções de recuperação ou até mesmo medidas de autenticação de backup. Algumas contas ainda podem exigir que você crie uma senha, mesmo que você opte por chaves de acesso, devido a essa possibilidade.
Mas o mais importante é que você não precisa manter suas chaves de acesso em apenas um dispositivo. Existem protocolos seguros que permitem sincronizar suas chaves de acesso entre diferentes dispositivos. Por exemplo, se você criar uma chave de acesso no seu iPhone, o iCloud Keychain sincronizará com segurança essa chave de acesso também com outros dispositivos Apple conectados, como um iPad e um Mac. Dessa forma, quando você quiser fazer login na sua conta em qualquer um desses dispositivos, a opção de autenticação com sua chave de acesso estará disponível em qualquer um – basta usar o Face ID, Touch ID ou apresentar seu PIN e pronto.
Você pode exportar chaves de acesso?
Neste momento, não. Esta é provavelmente a maior desvantagem das chaves de acesso. Ao contrário das senhas, que você pode exportar para outros gerenciadores de senhas, as chaves de acesso ficam presas ao serviço com o qual são geradas. Se você configurar uma chave de acesso para sua Conta do Google no iPhone, não poderá transferi-la diretamente para, digamos, um dispositivo Android. Se sua chave de acesso estiver no Bitwarden, você não poderá transferi-la para o Google Password Manager. Como tal, você deve tentar criar chaves de acesso na plataforma que você usa mais amplamente. Se você estiver totalmente inserido no ecossistema da Apple, o iCloud Keychain da Apple funcionará bem para você. Mas se você tiver uma combinação de dispositivos de fabricantes diferentes, seria melhor criar chaves de acesso em um gerenciador de senhas de plataforma cruzada. Você sempre pode autenticar com seu iPhone, é claro, mas a verdadeira conveniência das chaves de acesso é fazer login rapidamente em um dispositivo que já contém a chave de acesso.
No entanto, isso não significa que você precise manter esse serviço para sempre: você pode configurar novas chaves de acesso para contas existentes em outros serviços, para que possa se livrar com segurança de seus dispositivos de senha antigos. No entanto, certifique-se de manter o dispositivo antigo até que a chave de acesso seja estabelecida em um novo. Se algo der errado e você não conseguir configurar uma nova chave de acesso em outro dispositivo, você precisará do dispositivo antigo para confirmar sua identidade, a menos que tenha uma opção de autenticação alternativa, como uma senha.
As chaves de acesso não são perfeitas: na prática, podem ser um pouco complicadas, especialmente quando se trabalha em dispositivos diferentes. Mas, na melhor das hipóteses, eles oferecem conveniência e segurança. Se você não é particularmente experiente em tecnologia ou se não está totalmente enraizado no ecossistema de uma empresa de tecnologia, pode ser um pouco cedo para apostar tudo nas chaves de acesso. Mas as chaves de acesso podem manter suas contas seguras e protegidas, desde que você entenda esses outros pontos fracos.
