Detesta ter de decorar passwords? Vão acabar. Apple, Google e Microsoft estão a trabalhar em opções mais seguras
Já passaram alguns anos desde que a Apple, a Google e a Microsoft começaram a tentar eliminar as palavras-passe e o seu fim parece mais próximo do que nunca, revela a Fast Company.
Em 2022, as três tecnológicas adoptaram uma alternativa chamada chaves de acesso, que sincronizam de forma segura entre os dispositivos e são protegidas por reconhecimento facial, impressão digital ou PIN. A ideia é que se não precisar de se lembrar de uma palavra-passe – ou mesmo de criar uma num gestor de palavras-passe – terá menos probabilidade de ser vítima de esquemas de phishing. E se os sites já não precisarem de armazenar as palavras-passe dos seus clientes, as violações de segurança não serão tão desastrosas.
Apesar de muito entusiasmo inicial em torno das chaves de acesso, o seu lançamento foi confuso. Todas as aplicações e sites têm ideias diferentes sobre como introduzir o conceito de já não precisar de palavra-passe, e armazenar chaves de acesso com gestores de palavras-passe de terceiros pode ser um processo complicado. E o pior é que não há forma de transferir todas as chaves de acesso para outra plataforma ou gestor de palavras-passe, transformando-as assim em mais uma forma de “aprisionamento” do sistema.
Tudo isso está finalmente a mudar. A FIDO Alliance, grupo que lidera a promoção das palavras-passe, está a divulgar directrizes para tornar a utilização de chaves de acesso mais consistente de um site para outro, e as grandes plataformas tecnológicas estão cada vez melhores a permitir que o utilizador armazene chaves de acesso nos seus sites preferidos. Também está em curso um protocolo para permitir que as pessoas alternem com segurança entre gestores de palavras-passe e levem consigo todas as suas chaves de acesso.
Tudo isso está a contribuir para um ar de inevitabilidade para as chaves de acesso, especialmente com a adesão de grandes players do comércio electrónico, como a Amazon e a Shopify. Mesmo que não esteja totalmente sintonizado com o movimento das chave de acesso, em breve terá de se esforçar para o evitar.
«Nos próximos três a cinco anos, praticamente todos os principais serviços oferecerão aos utilizadores uma opção sem palavra-passe», afirma Andrew Shikiar, CEO e director executivo da FIDO Alliance.
Impulsionar a adopção
Um dos maiores desafios das chaves de acesso é a inércia. As pessoas não estão habituadas à ideia de fazer login sem palavra-passe, e ter de configurar uma chave de acesso pode ser confuso ou irritante, especialmente quando perturba a utilização do site em que acabou de fazer login.
Não há uma solução fácil para este problema, mas a FIDO Alliance criou um site Passkey Central para orientar as empresas sobre as possíveis opções. Estabelece diferentes estratégias para fazer com que os utilizadores adoptem chaves de acesso e incentiva o sector a adoptar dicas visuais e mensagens semelhantes.
«Penso que esta orientação – este apoio passo a passo, ajudando as pessoas ao longo desta jornada – será outra forma de abordar estes pontos problemáticos», diz Shikiar.
Alguns sites estão a tornar-se um pouco mais “agressivos” na promoção da adopção de chaves de acesso, como a Amazon por exemplo Amazon recentemente, por exemplo. Uma próxima actualização da especificação WebAuthn, denominada “criação condicional”, fará com que este processo seja padrão a ser adoptado pelos sites.
«Podemos começar a apoiar estes fluxos para tornar a adopção de chaves de acesso pelos utilizadores um processo mais simples e positivo», disse Nick Steele, gestor de produto da 1Password. «Porque essa é a parte mais difícil hoje: fazer com que os utilizadores dêem o primeiro passo.»
Adoptar gestores de senhas
Quando as chaves de acesso foram lançadas há uns anos, os gestores de palavras-passe de terceiros pareciam uma reflexão tardia.
Se configurar uma chave de acesso num iPhone, por exemplo, esta será automaticamente armazenada no iCloud Keychain da Apple, mesmo que prefira utilizar opções de terceiros. Quando estes outros gestores de palavras-passe finalmente adicionaram suporte de palavras-passe, tiveram de contar com soluções alternativas para as armazenar.
Felizmente, isso também está a mudar. A Apple suporta agora guardar e aceder a chaves de acesso em gestores de palavras-passe de terceiros, e a Microsoft afirma que em breve permitirá que os utilizadores do Windows escolham um gestor de palavras-passe de terceiros. Entretanto, a Google está a actualizar o Chrome para Android para que a sua funcionalidade de preenchimento automático utilize qualquer gestor de palavras-passe definido como padrão.
Embora os que estão por dentro do tema digam que as principais plataformas tecnológicas nunca tentaram utilizar as chaves de acesso como ferramenta de bloqueio, é mais fácil para elas armazená-las por conta própria. Mas também demoraram a descobrir como acomodar gestores de palavras-passe de terceiros. Steele diz que trabalhou em estreita colaboração com empresas como a Microsoft para que isso acontecesse. «Estamos todos na mesma equipa e o objectivo é ‘livrarmo-nos da password’.»
Leve-as consigo
Mesmo que seja mais fácil armazenar chaves de acesso num gestor de palavras-passe à escolha, ainda não há forma de as transferir em massa.
Agora, a FIDO Alliance está a propor uma solução com o Credential Exchange Format (CXF) e o Credential Exchange Protocol (CXP). O primeiro dá um formato de dados universalmente reconhecido para os logins, enquanto o segundo especifica como os gestores de palavras-passe podem transferir esses dados entre si.
O CXF e o CXP não servem apenas para chaves de acesso. Também cobrem as palavras-passe tradicionais, proporcionando uma forma segura de mudar para um novo gestor de palavras-passe. Hoje, a única opção é exportar todos os logins para uma folha de cálculo, seguidamente, carregá-la noutro local e, entretanto, qualquer pessoa com acesso a essa folha de cálculo verá toda a informação. O CXF e o CXP ainda estão em fase de teste, mas o objectivo é proporcionarem uma mudança mais segura.