No Dia Mundial das Palavras-passe (senhas), que se celebra esta quinta-feira, quem tem uma conta da Google pode deixar de as usar para aceder a vários serviços online. Esta semana, a empresa começou a permitir que as pessoas entrem nas suas contas através do método de autenticação que usam para desbloquear um dispositivo móvel (seja a impressão digital, reconhecimento facial ou um padrão de desbloqueio). No fundo, o dispositivo (regra geral, o smartphone) passa a ser uma espécie de chave-mestra ou autenticador. O sistema depende da activação de passkeys (chaves de acesso, em português).

A novidade chega um ano depois de a empresa tecnológica se ter juntado à FIDO Alliance, um grupo criado em 2013 para acabar com a dependência face a palavras-passe. A Microsoft e a Apple, que já oferecem passkeys, também fazem parte do projecto. O PÚBLICO preparou um conjunto de perguntas e respostas sobre a novidade.

Na base, as passkeys permitem que um dispositivo funcione como uma espécie de “chave-mestra” digital. Em vez de usar uma palavra-passe para aceder a uma conta online, passa a ser possível iniciar a sessão (ou validar a identidade quando necessário) através de passkeys autorizadas. Para isso, desbloqueia-se o dispositivo definido como chave de acesso utilizando dados biométricos, um padrão ou o número de identificação pessoal (PIN).

Em teoria, as passkeys dificultam a ocorrência de ciberataques porque os criminosos precisam de possuir fisicamente o dispositivo-chave e ter acesso ao “código” de desbloqueio desse mesmo dispositivo. No caso de autenticação biométrica (por exemplo, desbloqueio via impressão digital), também é necessária a presença do dono do dispositivo.

O fornecedor de serviços (neste caso, a Google) não guarda informação sobre o método de desbloqueio do dispositivo-chave (autenticador). Esse código (seja a impressão digital, código PIN, ou outro) serve apenas para identificar um dispositivo como a "chave-mestra".

O sistema também é mais simples e rápido do que a autenticação a dois passos (2FA) em que é preciso introduzir a palavra-passe e confirmar a identidade através de um código adicional que, por norma, é recebido via telemóvel ou obtido numa app de autenticação.

Em vez de usar uma palavra-passe para aceder a uma conta, dá-se autorização a um “autenticador” ou “chave-mestra” para gerar uma passkey – tecnicamente, um conjunto de chaves criptográficas (uma pública, outra privada) que estão associadas. O autenticador é um dispositivo móvel (por exemplo, um smartphone ou tablet) com um sistema de desbloqueio activo.

Quando alguém quer aceder a uma conta online, o autenticador envia a chave pública ao fornecedor do serviço que passa a poder comunicar com o autenticador.

É o processo de comunicação que destranca o serviço online. O fornecedor do serviço envia uma espécie de “desafio” ao autenticador e, quando o autenticador “resolve” o desafio, o utilizador consegue aceder ao serviço. Tudo isto demora segundos e o fornecedor nunca sabe a chave privada do utilizador.

Para o sistema funcionar, o utilizador tem de ter um dispositivo configurado com um ecrã de bloqueio que obriga o utilizador a autenticar-se (via reconhecimento facial, impressão digital, código ou padrão de desbloqueio). Em dispositivos Android, isto é configurado em Definições > Segurança e Privacidade > Ecrã Bloqueado.

Foto

Depois, basta aceder a g.co/passkeys, confirmar os dispositivos que a Google considera de confiança e carregar em “Começar a usar chaves de acesso”. A partir desse momento, quando o utilizador usa o dispositivo-chave para entrar numa conta da Google ou mudar as definições de privacidade apenas tem de se autenticar da mesma forma que o desbloqueia (por exemplo, com a impressão digital).

O sistema de passkeys funciona em dispositivos móveis com um sistema operativo a partir do Android 9 ou iOS 16 (sistema operativo da Apple).

As passkeys da Google já podem ser usadas para aceder aos serviços da empresa (como o YouTube, YouTube Music, e Gmail) e em algumas apps e sites a que alguém acede através das credenciais da Google. O PayPal, o Shopify e o Docusign estão entre os serviços que já suportam o sistema. A Google espera expandir a oferta nos próximos meses.

Também é possível usar as passkeys da Apple que estão disponíveis para utilizadores de iPhone desde Setembro do ano passado. A Microsoft também disponibiliza chaves de segurança.

Este sistema de passkeys baseia-se no protocolo FIDO2 (sigla inglesa para identificação rápida online), desenvolvido pela Fido Alliance e pela W3C (o consórcio que é responsável por promover padrões da Internet). O sistema depende da interface de gestão de credenciais WebAuthn que permite que serviços e empresas actualizem as suas páginas de login para aceitar a autenticação baseada em FIDO2 em navegadores e plataformas compatíveis.

Para já, não. Como a própria Google explica na apresentação das suas passkeys, o processo de transição vai demorar. Por este motivo, as palavras-passe combinadas com a autenticação de dois passos continuam a funcionar para aceder às contas da Google. É útil quando se está a usar um computador e, em vez do autenticador, os sistemas da Google requerem uma chave de segurança a ser introduzida via USB para validar a identidade do utilizador. Nesta altura, se essa pen USB não existe, pode-se sempre escolher “Experimentar de outra forma” e usar a palavra-passe.

Há décadas que as palavras-passe são a norma para aceder a serviços e ficheiros online. O engenheiro Fernando Corbato é considerado o pai das passwords modernas porque introduziu o sistema na década de 1960 para permitir que investigadores acedessem facilmente a ficheiros privados do MIT, o reputado Instituto de Tecnologia do Massachusetts, nos EUA.