A primeira quinta-feira de maio é aparentemente o “Dia Mundial da Senha”, e para comemorar Maçã, Googlee a Microsoft estão lançando um “esforço conjunto” para remover a senha. Os principais fornecedores de sistemas operacionais querem “expandir o suporte para um padrão comum de login sem senha criado pela FIDO Alliance e pelo World Wide Web Consortium”.

O padrão é chamado de “credencial FIDO para vários dispositivos” ou simplesmente “chave de acesso”. Em vez de uma longa sequência de caracteres, esse novo esquema faria com que o aplicativo ou site em que você está acessando enviasse uma solicitação de autenticação para seu telefone. A partir daí, você precisará desbloquear o telefone, autenticar com algum tipo de PIN ou biométrico e seguir seu caminho. Isso soa como um sistema familiar para qualquer pessoa com autenticação de dois fatores baseada em telefone configurada, mas é uma substituição de senha e não um fator adicional.

Um gráfico foi fornecido para interação do usuário:

Alguns sistemas push 2FA funcionam pela Internet, mas esse novo esquema FIDO funciona por Bluetooth. Como o whitepaper explica, “Bluetooth requer proximidade física, o que significa que agora temos uma maneira resistente a phishing de capturar o telefone do usuário durante a autenticação”. O Bluetooth tem uma péssima reputação de compatibilidade, e não tenho certeza se a “segurança” já foi uma preocupação real, mas a aliança FIDO observa que o Bluetooth é apenas “para verificar a proximidade física” e que o processo de login real “não depende do propriedades de segurança do Bluetooth”. Claro, isso significa que ambos os dispositivos precisarão de Bluetooth a bordo, o que é um dado para a maioria dos smartphones e laptops, mas pode ser difícil para PCs de mesa mais antigos.

Semelhante à forma como um gerenciador de senhas pode unificar seus logins com uma única senha, suas chaves de acesso podem ser copiadas por algum grande detentor de plataforma como Apple ou Google. Isso permitirá que você leve facilmente suas credenciais para um novo dispositivo, evite que você as perca e facilite a sincronização de chaves de acesso entre dispositivos. Se você perder seu dispositivo, ainda poderá recuperar suas contas fazendo login (com uma senha?) em sua conta de titular de plataforma grande. Também pode ser uma boa ideia ter mais de um dispositivo configurado como autenticador.

As empresas tentam “sem senha” há anos, mas chegar lá tem sido difícil. o google tem toda uma linha do tempo em seu blog de 2008. As senhas funcionam bem se forem longas, aleatórias, secretas e únicas, mas o elemento humano das senhas é sempre um problema. Não somos bons em memorizar sequências de caracteres longas e aleatórias. É tentador anotar senhas ou reutilizá-las, e esquemas de phishing tentam induzi-lo a fornecer sua senha a terceiros. Quando ocorre uma violação de segurança, os pares de nome de usuário e senha são fáceis de compartilhar e existem enormes bancos de dados de credenciais comprometidas.

A postagem no blog da FIDO diz: “Espera-se que esses novos recursos estejam disponíveis nas plataformas Apple, Google e Microsoft ao longo do próximo ano”. A Apple, que parece ter iniciado toda a mania da “chave de acesso”, já tem um sistema funcionando no iOS 15 e no macOS Monterey, mas é não suportado com outras plataformas ainda. O suporte à chave de acesso do Google já foi visto no Play Services no Android, portanto, ele deve oferecer suporte rapidamente a dispositivos Android mais antigos assim que estiver pronto.

Imagem de listagem da aliança FIDO