Chega de senhas — como as senhas substituirão sua senha

May 15 2023
Para evitar ambigüidade, os seguintes termos serão usados; Autenticador; O celular que está sendo utilizado para fazer o login no Site; O site ou aplicativo que o usuário está usando para fazer a solicitação de login do Serviço; O fornecedor que fornece o serviço fornecido, por exemplo

Para evitar ambigüidade, os seguintes termos serão usados;

Autenticador ; O celular que está sendo usado para fazer o login

Site ; O site ou aplicativo que o usuário está usando para fazer a solicitação de login

Serviço ; O fornecedor que fornece o serviço fornecido, por exemplo, Google Mail, Microsoft Outlook

Qual é o problema com as senhas?

As senhas são sinônimo de nosso uso da internet, nós as usamos para fazer login em nossos e-mails, contas de mídia social ou para verificar nossos saldos bancários. Somos lembrados de definir senhas complexas 'boas', com cada site tendo sua própria definição do que é bom.

Apesar desses esforços, as senhas continuam sendo um ponto fraco, pois muitos usam senhas fracas e/ou a mesma senha em todas as contas. Muitas vezes, alguns são vítimas de sites que fingem ser serviços genuínos, conhecidos como phishing. É aqui que os usuários clicam em um link que acreditam ser genuíno, mas, na verdade, é um site falso criado para roubar a senha do usuário.

Sites falsos de 'phishing' muito bons também podem induzir os usuários à autenticação multifator (MFA) se o tipo de MFA não for projetado para ser resistente a ataques de phishing. No entanto, ter qualquer MFA é melhor do que nenhum MFA.

O que são chaves de acesso

As senhas substituem as senhas e são projetadas para serem resistentes a ataques de phishing. Eles também tornam o processo de login muito mais fácil para os usuários, além de serem mais seguros.

Vamos pegar o Batool como exemplo, ela está usando uma senha para fazer login em sua conta do Gmail. Ao mudar para uma chave de acesso, ela pode fazer login usando sua impressão digital ou rosto. A senha torna-se um método alternativo caso ela não possa usar a chave de acesso (as senhas acabarão sendo aposentadas em algum momento).

As chaves de acesso usam o conceito de chaves públicas e privadas , em vez de uma senha, Batool agora tem uma chave privada que é criada, armazenada e gerenciada de forma integrada por seu telefone celular. Isso pode ser feito por meio de um aplicativo de autenticação ou dentro do sistema operacional.

O telefone de Batool sabe como carregar automaticamente sua nova chave pública para o Gmail, como parte de sua criação de senha com Gmail.com.

O Gmail agora sabe sobre a chave pública de Batool e, portanto, solicitará que ela confirme se é dela, exigindo que Batool desbloqueie seu telefone e assine-o usando sua chave privada.

Tudo isso acontece em segundo plano entre Gmail.com e seu telefone, Batool só precisa se preocupar em usar sua impressão digital ou desbloqueio biométrico facial como faria normalmente. Ela pode ter que selecionar qual senha usar se tiver várias contas diferentes do Gmail.com configuradas.

Sites falsos agora são uma ameaça menor, pois não possuem a chave pública de Batool e, portanto, ela não pode entrar. Lembre-se de que a chave privada nunca sai de seu celular.

Então, como o Batool passa de uma senha para uma chave de acesso?

O diagrama abaixo mostra como Batool passa de usar uma senha para uma chave de acesso para sua conta do Gmail.

Batool cria uma senha

1- Batool faz login no serviço (Gmail) usando seu nome de usuário e senha.

2- O Gmail agora suporta senhas, uma solicitação é enviada para Batool para criar uma chave de acesso ou ela pode precisar navegar para g.co/passkeys .

3- Uma notificação aparece para criar uma senha.

4- Batool opta por criar uma chave de acesso e é solicitado a desbloquear seu telefone usando a opção biométrica, isso permite que seu telefone crie com segurança uma nova chave de acesso para Gmail.com e armazene-a com segurança para ela.

5- A chave privada está vinculada ao seu perfil de usuário, ou seja, sincronizada em seus dispositivos. Neste exemplo, o Batool está usando um iPhone para que possa ser sincronizado usando o iCloud. No entanto, métodos alternativos podem ser usados ​​por diferentes fornecedores, por exemplo, Microsoft Authenticator ou Google Password Manager.

6 - A chave pública correspondente é enviada para o Gmail.

7- O Google APENAS armazena esta chave pública e é usada em futuras tentativas de login para validar as assinaturas assinadas do Batool.

Enquanto Batool está usando sua impressão digital ou rosto para usar a chave de acesso, isso é como desbloquear o dispositivo ou fazer login no banco on-line - a representação digital de sua impressão digital ou rosto NUNCA sai do celular , é armazenada criptografada no telefone e não pode ser acessado pelo Gmail ou por quem fez o dispositivo, como Apple ou Android.

Agora que o Batool tem uma chave de acesso, como funciona o processo de login?

O diagrama abaixo mostra como Batool fará login em sua conta do Gmail usando sua chave de acesso.

Batool faz login com sua chave de acesso

1- O Batool navega até o site de login de um determinado serviço, neste caso o Gmail.

2- A Batool criou anteriormente uma chave de acesso (veja acima) para o Gmail, então um desafio é enviado do serviço Gmail.

3- O Desafio é recebido pelo telefone do Batool e aparece como uma lista de senhas disponíveis do serviço, ou seja, se o Batool tiver mais de uma conta do Gmail, duas senhas aparecerão

4- Batool seleciona a chave de acesso para sua conta do Gmail e, em seguida, usa biometria para desbloquear seu celular, permitindo que seu telefone use a chave privada.

5- O desafio do Google é então assinado pela chave privada do Batool.

6- Um desafio assinado é enviado ao Google, o que fornece forte confiança de que o Batool está fazendo login.

7 - O Google usa a chave pública do Batool para confirmar o login bem-sucedido.

Ao fazer login no Google a partir de agora, o Google solicitará a chave de acesso sempre que possível. Se a chave de acesso não estiver disponível, Batool ainda poderá usar sua senha do Google.

Isso faz parte de uma mudança gradual para senhas à medida que mais serviços adotam senhas, esperamos ver um futuro sem senhas e maior resiliência ao phishing.

Apple, Google e Microsoft estão colaborando para aumentar a conscientização e a adoção de senhas com mais informações sobre isso aqui .

Muito obrigado a Joel Samuel e Ali Sarraf pela revisão desta peça.