O que são realmente as chaves de acesso? A explicação simples – para quem está cansado de senhas
BlackJack3D via iStock / Getty Images PlusSiga-nos como fonte preferida no Google. Principais conclusões do ZDNET As chaves permitem que você faça login sem digitar ou lembrar senhas. A taxa de adoção desta tecnologia tem sido notável e não mostra sinais de desaceleração. Se a sua experiência for como a minha, provavelmente você será convidado a salvar uma nova chave de acesso pelo menos uma ou duas vezes por semana. Ao todo, agora tenho pelo menos 40 chaves de acesso salvas. Posso usar essas chaves de acesso para ignorar completamente a solicitação de senha e fazer login com biometria (rosto ou impressão digital) em dezenas de sites, incluindo destinos de compras convencionais como Costco, Target, Amazon e Walmart, bem como sites mais técnicos como Dell, Adobe e Dropbox. A empresa que gerencia meus registros de nomes de domínio usa chaves de acesso, assim como a companhia de energia, minha cooperativa de crédito e meu consultório médico. Além disso: estou trocando senhas por chaves de acesso por um motivo – e não é o que você pensa. Mas ainda ouço leitores que não entendem muito bem o que é uma chave de acesso, como funciona ou por que é melhor do que uma senha. Depois de uma longa troca on-line sobre o assunto com um amigo que finalmente conseguiu um “Aha!” Neste momento, acho que descobri por que o assunto é tão confuso: uma chave de acesso não é algo tangível – é uma abstração. Como resultado, a maioria das tentativas de explicar a tecnologia fica atolada em detalhes técnicos. Até mesmo a pessoa menos técnica que você conhece pode lhe dizer o que é uma senha – alguma combinação de letras e números, talvez com um símbolo inserido. Você pode criar sua própria senha usando uma palavra comum, um nome ou uma data, e pode até anotá-la em um post-it. Se você é como a maioria das pessoas, reutiliza regularmente a mesma senha, ou alguma variação dela, mesmo sabendo que provavelmente é uma má ideia. Além disso: Como funcionam as chaves de acesso: O guia completo para o seu inevitável futuro sem senha Uma chave de acesso, por outro lado, é difícil de descrever. Se eu disser que é uma credencial digital segura gerada a partir de uma chave pública e uma chave privada, você consegue formar uma imagem mental que combine com essas palavras? Provavelmente não. Enterrar a definição em detalhes mais técnicos não ajudará. Mas acho que podemos chegar lá, juntos, em linguagem simples (principalmente) não técnica, sem um monte de jargões, apenas analisando as perguntas que continuo ouvindo dos leitores. O que é uma chave de acesso? Uma chave de acesso é uma credencial segura e salva que permite que você faça login em um site ou serviço da web específico, comprovando sua identidade com biometria ou um PIN. As chaves de acesso são definidas usando o padrão Web Authentication (WebAuthn). O que acontece quando você cria uma chave de acesso? Ao criar uma chave de acesso, você está, na verdade, gerando e salvando duas informações digitais criptografadas correspondentes – uma no site ou serviço no qual você está acessando (isso é referido no padrão como parte confiável) e uma segunda no seu dispositivo. Essas chaves só podem funcionar juntas; um é inútil sem o outro. Funciona assim: você acessa um site e faz login normalmente com sua senha. Depois de fazer login, você verá uma mensagem: Gostaria de criar uma chave de acesso? E você diz: “Ora, sim, eu faria”. Ou, se o site não oferecer ajuda para criar uma chave de acesso, você encontrará a opção na página de configurações de segurança da sua conta. A captura de tela a seguir mostra o que você vê em Dell.com, por exemplo. Talvez você precise se aprofundar nas configurações para criar uma chave de acesso para um site ou serviço Captura de tela de Ed Bott/ZDNETVocê precisará escolher qual autenticador usar para criar a chave de acesso (mais sobre isso em instantes), mas além disso, você não precisa fazer mais nada. Você já fez login com sua senha, então o site sabe que você está autorizado a usar essa conta. O site ou serviço ao qual você está se conectando salva uma chave de criptografia exclusiva em seu servidor, e seu autenticador (seu dispositivo ou gerenciador de senhas) gera uma segunda chave de criptografia privada exclusiva e a armazena em um local seguro em seu dispositivo. Essa é a chave de acesso – dois segredos, um em cada extremidade, que funcionam juntos para estabelecer o seu direito de usar a conta. Seu nome de usuário e senha não estão mais envolvidos e ninguém poderá ver a chave de criptografia privada em seu computador, nem mesmo você. Qual autenticador devo usar? Ao criar uma chave de acesso, você escolhe qual autenticador usar. O local padrão é o próprio dispositivo, como um PC compatível com autenticação biométrica do Windows Hello. Você também pode escolher um gerenciador de senhas que suporte chaves de acesso ou até mesmo usar uma chave de segurança de hardware. Por que isso importa? Se você usar seu PC ou dispositivo móvel ou uma chave de segurança de hardware como autenticador, estará criando uma chave de acesso vinculada ao dispositivo. Só funcionará em conjunto com esse hardware. Se você tentar fazer login em um dispositivo diferente ou se a chave de segurança do hardware não estiver disponível, você não terá acesso a essa chave de acesso. Por outro lado, um gerenciador de senhas pode salvar senhas sincronizáveis que você pode usar em vários dispositivos. O Google Password Manager e o iCloud Keychain podem sincronizar suas chaves de acesso entre dispositivos. O mesmo acontece com gerenciadores de senhas de terceiros, como 1Password ou Bitwarden. (Para obter uma lista atualizada de autenticadores de senha, consulte esta página do GitHub.) Veja também: Os usuários do Windows 11 acabaram de obter uma maneira mais conveniente de armazenar chaves de acesso. Se você já está acostumado a usar um gerenciador de senhas que suporte chaves de acesso, essa é sua melhor escolha. Você poderá criar, gerenciar e usar chaves de acesso usando a mesma interface que já usa. E aqui vai uma dica poderosa: você pode usar vários autenticadores de senha e criar várias chaves de acesso para o mesmo site. Para alguns sites de alto valor, criei chaves de acesso em duas ou mais chaves de hardware e no 1Password, o que me dá várias maneiras de fazer login com segurança nesses sites, mesmo em hardware desconhecido. Como você usa uma chave de acesso? Ao visitar um site onde você criou uma chave de acesso anteriormente, você insere seu endereço de e-mail ou nome de usuário normalmente, mas em vez de ver uma caixa onde você insere uma senha, você vê uma mensagem: Gostaria de fazer login com sua chave de acesso? Você diz sim e clica no botão da sua chave de acesso salva. Você precisa provar sua identidade antes de salvar uma chave de acesso Captura de tela de Ed Bott/ZDNETO site envia sua chave para seu PC ou gerenciador de senhas para ser autenticado e diz, na verdade, “O indivíduo associado a esta chave gostaria de acessar sua conta. Você concorda com isso?” Seu autenticador (Windows Hello em um PC, iCloud Keychain em um dispositivo Apple ou uma chave de hardware) confirma que a solicitação vem de uma fonte válida e não de um site de phishing; em seguida, ele compara essa chave com as informações salvas em sua chave de acesso, confirma se elas correspondem e solicita que você se identifique com biometria ou um PIN. Além disso: você já usa uma abordagem somente de software para autenticação de chave de acesso. Ao fazer isso, o autenticador informa ao site que você provou sua identidade e que possui uma chave de acesso correspondente. Agora você está conectado, exatamente como estaria se tivesse usado sua senha. Seu PC ou gerenciador de senhas nunca enviou a chave de acesso ao site, portanto ela não pôde ser interceptada ou copiada. Tudo o que fez foi afirmar que você é você e que a chave de acesso corresponde. Onde as chaves de acesso são armazenadas? Suas chaves de acesso são armazenadas em um local seguro em seu telefone ou computador, protegidas por hardware criptográfico – o TPM em um PC com Windows, o Secure Enclave em um dispositivo Mac ou iOS ou um ambiente de execução confiável em um dispositivo Android. Somente o autenticador pode acessar uma chave de acesso, e só poderá fazê-lo depois que você comprovar sua identidade. As chaves de acesso não são acessíveis ao sistema de arquivos, o que significa que você não pode usar o File Explorer ou o Finder para percorrer sua coleção de chaves de acesso. Além disso: Apple, Microsoft ou Google: qual autenticador de plataforma governa o futuro da nossa chave de acesso? Você não pode abrir uma chave de acesso e inspecionar seu conteúdo. Você não pode fazer uma cópia de uma chave de acesso salva em seu telefone ou computador e não pode usá-la acidentalmente se um bandido o enganar com um site falso projetado para parecer legítimo. O que acontece com minha senha depois de criar uma chave de acesso? Algum dia, daqui a muitos anos, poderemos viver em um mundo sem senhas. Esse dia não é hoje. Além disso: Como configurar chaves de acesso facilmente por meio do meu gerenciador de senhas Por enquanto, as chaves de acesso são uma alternativa às senhas, e sua senha normalmente permanece disponível como uma forma de fazer login em um site onde você criou uma chave de acesso. Alguns serviços permitirão que você remova uma senha após criar várias chaves de acesso – você pode fazer isso com sua conta da Microsoft, por exemplo – mas essas opções ainda são raras. Por que uma chave de acesso é mais segura que uma senha? Quando você usa uma senha, eis o que acontece: você acessa um site, insere seu nome de usuário e senha e clica em um botão. Se tudo correr bem, você está conectado. Mas há muitas coisas que podem dar errado. Para começar, as senhas podem ser roubadas. Se um bandido conseguir criar um site que se pareça com a página de login do seu banco, você poderá ser enganado e digitar sua senha lá, momento em que o bandido poderá fazer login como você e roubar os fundos da sua conta bancária. As senhas podem ser adivinhadas, seja por meio de ataques de força bruta que tentam todas as combinações possíveis de letras, números e símbolos, ou por um invasor que descobre sua senha fácil de adivinhar. Basta perguntar a Donald Trump, cujas senhas de contas no Twitter não foram difíceis de adivinhar – você disparou em 2014 e no maga2020! seis anos depois. Além disso: Como substituí a senha da minha conta da Microsoft por uma senha, as senhas também podem ser roubadas. Um keylogger ou Trojan de acesso remoto pode enviar suas senhas para um invasor ou pode usar a opção de tecnologia extremamente baixa de “navegar no ombro” – observar enquanto você digita seu nome de usuário e senha, talvez com a ajuda de uma câmera de vídeo. Mesmo que seu opsec seja perfeito, você ainda pode ter sua senha sequestrada se o site fizer um péssimo trabalho de armazenamento e segurança. Finalmente, você poderia (imprudentemente) reutilizar essa combinação de nome de usuário e senha em outros sites e ficaria vulnerável se a senha de um site vazasse ou fosse roubada. As chaves de acesso são imunes a esses ataques. Um phisher habilidoso pode fazer você pensar que um site falso é real, mas nunca terá acesso à chave de acesso, porque o domínio e a chave de criptografia associada não correspondem. E não pode ser roubado, porque nunca sai do repositório seguro no seu dispositivo. A única maneira de desbloqueá-lo é se você se identificar com biometria ou um PIN depois que seu autenticador receber uma solicitação legítima de um servidor remoto. Preciso me preocupar em tornar as chaves de acesso exclusivas? Durante anos, você leu colunas de conselhos que mostram como é importante ter uma senha exclusiva para cada site. Então, você precisa ter o mesmo nível de cautela e criar uma chave de acesso exclusiva para cada site que permita isso? Ha! Essa é quase uma pergunta capciosa. As chaves de acesso são exclusivas por definição. Cada chave de acesso é composta por duas chaves de criptografia separadas que são geradas para uso somente com o site ou serviço onde foi criada. No entanto, você pode ter várias chaves de acesso para um único site. Se eles estiverem vinculados ao dispositivo, você poderá ter um para o seu laptop e outro para o seu telefone. Ou você pode ter uma ou mais chaves de hardware como uma YubiKey. Como mencionei anteriormente, criar chaves de acesso sincronizáveis em seu gerenciador de senhas é a opção mais conveniente.
Publicado: 2025-12-22 13:36:00
fonte: www.zdnet.com
