Já faz alguns anos que a Apple, o Google e a Microsoft começaram a tentar acabar com as senhas, e seu fim parece mais provável do que nunca.
Em 2022, todas as três empresas adotaram uma alternativa chamada passkeys, que sincronizam com segurança entre seus dispositivos e são protegidas por reconhecimento facial, impressão digital ou PIN. O pensamento é que se você não precisa lembrar de uma senha — ou mesmo criar uma em um gerenciador de senhas — é menos provável que você seja vítima de golpes de phishing. E se os sites não precisarem mais armazenar as senhas de seus clientes, as violações de segurança não serão tão desastrosas.
Apesar de muito hype inicial em torno das chaves de acesso, o lançamento inicial foi confuso. Aplicativos e sites têm ideias diferentes sobre como introduzir o conceito de não precisar mais de uma senha, e armazenar chaves de acesso com gerenciadores de senhas de terceiros, como Bitwarden e 1Password, pode ser um processo complicado. Pior de tudo, não há como transferir todas as suas chaves de acesso para outra plataforma ou gerenciador de senhas, transformando-as em mais um bloqueio de ecossistema de formulários.
Tudo isso está finalmente mudando. A FIDO Alliance, o grupo da indústria que lidera o impulso da chave de acesso, está divulgando algumas diretrizes muito necessárias para fazer com que o uso de chaves de acesso pareça mais consistente de um site para outro, e as grandes plataformas de tecnologia estão ficando melhores em permitir que você armazene chaves de acesso em seu gerenciador de senhas preferido. O trabalho também está em andamento em um protocolo para permitir que as pessoas alternem com segurança entre gerenciadores de senhas e levem todas as suas chaves de acesso com elas.
Tudo isso está contribuindo para um ar de inevitabilidade para as chaves de acesso, especialmente porque grandes players de e-commerce como Amazon e Shopify estão a bordo. Mesmo que você não esteja totalmente sintonizado com o movimento das chaves de acesso, em breve você terá que sair do seu caminho para evitá-lo.
“Nos próximos três a cinco anos, praticamente todos os principais serviços oferecerão aos consumidores uma opção sem senha”, diz Andrew Shikiar, CEO e diretor executivo da FIDO Alliance.
Impulsionando a adoção
Um dos maiores desafios para as chaves de acesso é a inércia. As pessoas não estão acostumadas com a ideia de entrar sem uma senha, e ter que configurar uma chave de acesso pode ser confuso ou irritante, especialmente quando atrapalha o uso do site em que você acabou de entrar.
Não há uma resposta fácil para esse problema, mas a FIDO Alliance criou um site Passkey Central para orientar as empresas sobre as possíveis soluções. Ele apresenta diferentes estratégias para fazer com que os usuários adotem chaves de acesso e incentiva toda a indústria a adotar dicas visuais e mensagens semelhantes.
“Acredito que essa orientação que estamos dando — esse suporte passo a passo, ajudando as pessoas ao longo dessas jornadas — será outra maneira de abordar esses pontos problemáticos”, diz Shikiar.
Também estamos começando a ver alguns sites ficarem mais agressivos em forçar a adoção de senhas. Se você entrou na Amazon recentemente, por exemplo, pode ter visto um prompt na tela para configurar uma senha com o clique de um botão. Uma atualização futura da especificação WebAuthn, chamada “criação condicional”, tornará esse processo parte de um padrão da indústria para sites adotarem.
“Podemos começar a dar suporte a esses fluxos para tornar a adoção de chaves de acesso pelos usuários um processo um pouco mais passivo e de baixo atrito”, diz Nick Steele, gerente de produtos da equipe do 1Password. “Porque essa é a parte mais difícil hoje, fazer com que os usuários deem o primeiro passo.”
Adotando gerenciadores de senhas
Quando as chaves de acesso foram lançadas há alguns anos, os gerenciadores de senhas de terceiros pareciam algo secundário.
Se você configurar uma senha em um iPhone, por exemplo, ela será automaticamente armazenada no iCloud Keychain da Apple, mesmo se você preferir usar uma opção de terceiros, como Bitwarden ou 1Password. Quando esses gerenciadores de senhas eventualmente adicionaram suporte a senhas, eles tiveram que contar com soluções alternativas para armazená-las.
Felizmente, isso também está mudando. A Apple agora oferece suporte para salvar e acessar chaves de acesso em gerenciadores de senhas de terceiros, e a Microsoft diz que em breve permitirá que usuários do Windows escolham um gerenciador de chaves de acesso de terceiros padrão. Enquanto isso, o Google está atualizando o Chrome para Android para que seu recurso de preenchimento automático use qualquer gerenciador de senhas que você definir como padrão no nível do sistema.
Enquanto envolvidos com chaves de acesso dizem que as principais plataformas de tecnologia nunca tentaram usar chaves de acesso como uma ferramenta para bloqueio, é mais fácil para eles armazenarem essas chaves de acesso por conta própria. Levou tempo para descobrir como acomodar gerenciadores de senhas de terceiros também, Steele diz que trabalhou em estreita colaboração com empresas como a Microsoft para fazer isso acontecer.
“Estamos todos no mesmo time aqui, certo? E o time é ‘livre-se da senha'”, ele diz.
Leve-os com você
Mesmo que fique mais fácil armazenar chaves de acesso no seu gerenciador de senhas preferido, ainda não há como transferi-las em massa. Se você é um usuário antigo do 1Password que quer mudar para o aplicativo Passwords da Apple, por exemplo, as chaves de acesso que você criou no 1Password estão presas lá.
Agora, a FIDO Alliance está propondo uma solução com o Credential Exchange Format e o Credential Exchange Protocol. O primeiro fornece um formato de dados universalmente reconhecido para logins, enquanto o último especifica como os gerenciadores de senhas podem transferir esses dados entre si.
CXF e CXP não são apenas para chaves de acesso. Eles também cobrem senhas tradicionais, fornecendo uma maneira segura de alternar para um novo gerenciador de senhas. Hoje, sua única opção é exportar uma planilha .CSV de todos os seus logins, depois carregá-la em outro lugar e, enquanto isso, qualquer pessoa com acesso a essa planilha pode ver todos os seus logins em texto simples. CXF e CXP ainda estão em fase de rascunho de trabalho, mas o objetivo é que eles forneçam uma maneira mais segura de alternar.
“Acho muito legal que estejamos fazendo isso”, diz Andrew Shikiar, da FIDO. “Queremos estar seguros, queremos interoperar, queremos ser competitivos, e vimos isso se confirmar.”
Ganhando força
Shikiar diz que está feliz com o progresso que as chaves de acesso fizeram nos últimos dois anos. Ele aponta para uma pesquisa recente conduzida pela FIDO Alliance, mostrando que 40% dos consumidores têm alguma consciência sobre chaves de acesso. Ele também apontou para um anúncio recente da Amazon de que 175 milhões de seus clientes habilitaram chaves de acesso em suas contas.
O próximo grande objetivo será trazer provedores de serviços financeiros a bordo. O suporte inicial de senha tende a ser serviços de e-commerce e hospitalidade cujo objetivo principal é facilidade de acesso, ele diz, o maior ponto de prova será a adoção de empresas que veem os benefícios de segurança das senhas também.
Quando isso acontecer, ele espera que a senha pareça cada vez mais obsoleta. “Para ser claro, haverá cenários em que ainda usaremos senhas em cinco anos”, ele diz, “mas cada vez menos”.