Pergunte ao especialista: O que são chaves de acesso?

Para aqueles que passaram um quarto de século memorizando senhas – transformando nomes de animais de estimação, aniversários e times esportivos em nossas credenciais de login – é fácil ansiar por tempos mais simples. Além disso, encher a cabeça com números aleatórios e caracteres especiais é uma defesa imperfeita. Uma década de violações de dados, hacks e tentativas de phishing transformaram as senhas da primeira linha de defesa de uma pessoa em sua principal vulnerabilidade de segurança.

Para ajudar, juntamente com a Apple e a Microsoft, anunciamos no ano passado que apoiaríamos um novo padrão de login criado pela Aliança FIDO (Fast IDentity Online), que permitiria que pessoas de todo o mundo entrassem em um “futuro sem senha”. Esse esforço conjunto para criar uma alternativa mais segura às senhas está enraizado nas chaves de acesso – e, a partir de hoje, você pode se inscrever para obtê-las usando o comando “pular senha quando possível” em sua conta do Google.

As chaves de acesso são um novo recurso em computadores e smartphones que, com segurança, fazem login em suas contas na web usando dados biométricos, como impressão digital ou reconhecimento facial, ou um PIN de bloqueio de tela. Chega de se lembrar das senhas de cada uma de suas contas em aplicativos e sites – as chaves de acesso se encarregam de concluir a autenticação com segurança em seu nome.

Embora um futuro mais seguro seja bem-vindo, como acontece com qualquer nova tecnologia nós tínhamos algumas perguntas. Para obter respostas, conversamos com o especialista em segurança do Google, Christiaan Brand. Leia abaixo o pingue-pongue com Christiaan, que foi editado para um melhor tamanho e clareza.

Em termos simples, o que é uma chave de acesso?

Uma chave de acesso é uma credencial FIDO armazenada em seu computador ou telefone, que é usada para desbloquear suas contas online. A chave de acesso torna o login mais seguro. Funciona usando criptografia de chave pública e a prova de que você possui a credencial só é mostrada na sua conta online quando você desbloqueia o telefone.

Para entrar em um site ou aplicativo em seu telefone, basta desbloquear seu aparelho – sua conta não precisará mais de senha.

Ou, se estiver tentando entrar em um site pelo seu computador, você só precisa ter seu telefone por perto e será solicitado para desbloquear o aparelho – o que lhe concederá acesso ao seu computador.

Você fala sobre um “futuro sem senha” – as chaves de acesso realmente substituirão as senhas?

Sim, as chaves de acesso substituirão as senhas. É ainda mais amplo do que isso. Eu diria que nossa visão para as chaves de acesso não é apenas eliminar as senhas, mas também eliminar todos os Band-Aids que a indústria criou para compensar o fato de as senhas serem tão vulneráveis.

E por “Band-Aids” você quer dizer perguntas desafiadoras como “Qual era o mascote do seu colégio?” ou “Qual é o nome de solteira da sua mãe?”

Sim, mas soluções ainda mais sofisticadas, como autenticação multifator, mensagens SMS ou aplicativos autenticadores. Por exemplo, criamos o aplicativo Google Authenticator para oferecer às pessoas uma camada extra de segurança na web. As chaves de acesso substituirão tudo isso.

Raramente ouvimos as palavras “público” e “criptografia” em uma única frase – como isso realmente funciona?

A criptografia de chave pública existe desde a década de 1970 – a web é construída sobre ela. Na década de 1990, a Netscape desenvolveu criptografia baseada em chaves públicas chamadas Secure Sockets Layer — ou SSL — como forma de autenticar sites e garantir a privacidade do usuário. Todos os sites seguros as possuem e é assim que você pode identificar se um site é autêntico e o que o site afirma ser.

Portanto, ele autentica sites – mas como isso autentica as pessoas?

As chaves de acesso são semelhantes às SSL, mais recentemente chamadas de TLS. Mas em vez de os sistemas se autenticarem, uma pessoa possui a chave privada correspondente em seu dispositivo. A parte criptográfica disso é que o site pode confirmar se o dispositivo do usuário – que a biometria confirma que está em sua posse – possui a chave de acesso. Por causa da criptografia, o servidor nunca descobre realmente qual é a chave de acesso do usuário. Essa é a magia da criptografia de chave pública. Ela pode validar você sem saber nada sobre você. Ela apenas confirma que você é quem diz ser.

Então, se essa criptografia existe desde a década de 1970, por que memorizamos senhas desde a década de 1990?

A criptografia de chave pública precisa de poder computacional. Até cerca de 2010, a maioria das pessoas não andava por aí com computadores no bolso.

Isso é o que são os smartphones. Computadores de bolso. E embora os smartphones tenham sido vistos como vulnerabilidades, as chaves de acesso podem transformá-los na maior mudança para a segurança online em décadas.

OK, mas se você perder seu telefone, a pessoa que o encontrar poderá usar sua chave de acesso?

Não, porque o telefone é apenas parte disso. No passado, fazer login em um site seguro exigia duas coisas: bastava ter uma máquina para acessar a internet e você precisava se lembrar de algo, como sua senha. Isso significa que se alguém conseguisse sua senha, tudo o que precisava era de acesso à internet – de qualquer lugar.

As chaves de acesso são uma evolução. Elas autenticam que você está em posse do seu dispositivo e que é você quem está acessando sua conta. É zero-trust, pois exige que algo sobre você seja verificado constantemente como verdadeiro. Isso é mais seguro e mais simples para as pessoas.

Sua impressão digital, seu rosto: a capacidade de desbloquear seu dispositivo – essas coisas e o seu dispositivo devem estar em sua posse. Se alguém obtiver seu aparelho, não poderá fazer nada com sua chave de acesso. E se você perder seu dispositivo antigo contendo sua chave de acesso, poderá criar facilmente uma nova chave em seu novo aparelho.

E você pode ter mais de uma chave de acesso em vários dispositivos?

Sim, você pode ter muitas chaves de acesso e até mesmo chaves de acesso em dispositivos compartilhados com sua família. Esse é um dos grandes saltos. A criptografia significa que as chaves de acesso – não importa quantas você tiver e onde quer que estejam armazenadas – são úteis apenas para o usuário.

Este parece ser um dos primeiros avanços de segurança que exigem que as pessoas façam menos.

Isso é verdade – e faz parte da inovação de confiança zero. Como todos nós temos muitas coisas em mente, podemos focar em outras atividades enquanto, ao mesmo tempo, estamos mais seguros.

Sobre inovação. Dizem — penso eu — que grandes inovações resolvem problemas que conhecemos. Na melhor das hipóteses, inovação significa que os problemas que nos preocupam vão fazer nossos filhos bocejarem. Quais são as preocupações diárias de segurança, resolvidas pelas chaves de acesso, que farão meus filhos bocejarem?

Três coisas que se enquadram nessa categoria:

Primeiro, as senhas sendo roubadas. Ouvimos todas as semanas sobre alguma empresa ser hackeada e senhas roubadas. Como as pessoas costumam reciclar senhas na Web, isso pode dar aos malfeitores acesso a muitas contas diferentes – e-mail, bancos, redes sociais. As chaves de acesso impedem isso.

Em segundo lugar, a autenticação é imperfeita e demorada. Autenticação significa que, mesmo que alguém obtenha a sua senha, ainda precisará de outro dado. É por isso que criamos o aplicativo Google Authenticator. O aplicativo ajudou a mitigar violações de dados. Mas isso ainda significa que uma pessoa tem trabalho a fazer – e coloca o fardo sobre o usuário individual. É demorado. O usuário não deveria estar tão sozinho em segurança e autenticação – e, por algumas décadas, isso é o vem acontecendo em grande parte.

Terceiro, as crianças considerarão as “tentativas de phishing” uma teatralidade amadora. Phishing é quando alguém te envia um e-mail, que parece oficial, você clica no link e começa a digitar suas credenciais. As tentativas de phishing tornaram-se mais sofisticadas e, por vezes, as pessoas não só são enganadas para fornecerem o seu nome de utilizador e senha, como também informações de autenticação e outros dados pessoais. Além disso, o phishing também impõe aos usuários a responsabilidade de determinar a credibilidade de um e-mail ou site. Isso não é muito técnico. As chaves de acesso podem resolver o problema de phishing.

Uma pergunta que muitas pessoas terão – e que diz respeito à biometria, como impressões digitais e reconhecimento facial. Você acha que as pessoas deveriam se preocupar com a biometria funcionando junto aos dispositivos para habilitar as chaves de acesso?

Nenhum dos nossos dispositivos modernos, laptops, smartphones ou desktops — mesmo aqueles que usam biometria — pode embalar as informações biométricas e enviá-las para a nuvem. Os smartphones modernos não foram desenvolvidos para compartilhar dados biométricos. É sempre local e no seu dispositivo. Mesmo que seu dispositivo seja roubado, o ladrão não terá sua biometria para ativar a chave de acesso.

Sabemos que novas tecnologias levam tempo para ganhar confiança e alcançar ampla adesão. Também vivemos numa época em que muitas novidades digitais meio que se disfarçam de inovações estonteantes. Como as pessoas podem ter certeza de que as chaves de acesso valem seu tempo?

Elas poderão configurar as chaves de acesso na próxima vez que forem solicitadas por um serviço na internet. Gaste um pouco de tempo, depois economize muito tempo e energia mental – e fique muito mais seguro.