Passwords podem ser difíceis de lembrar, especialmente se tiverem muitos caracteres e números, ou fáceis de adivinhar, se forem simples demais. Para resolver este problema, a FIDO (Fast Identity Online) Alliance desenvolveu as chaves de acesso, uma nova forma de autenticação.
As chaves de acesso eliminam a necessidade de escrever o seu endereço de e-mail ou password nos campos de login de qualquer site, garantindo ao utilizador vários benefícios, entre eles:
- Não podem ser adivinhadas ou partilhadas;
- São resistentes a tentativas de phishing por serem exclusivas dos sites para os quais foram criadas;
- Não podem ser roubadas através de hacking no servidor ou base de dados de uma empresa.
Embora tenham muitos benefícios, algumas pessoas ainda se questionam: o que são chaves de acesso? Devem ser utilizadas? São realmente mais seguras do que as credenciais de login tradicionais? A seguir, vamos explicar tudo isso.
O que é uma chave de acesso?
Uma chave de acesso é uma forma de fazer login em aplicações e sites sem necessitar de introduzir um nome de utilizador e uma password. Esta tecnologia combina chaves encriptadas, geradas tanto pelo seu dispositivo como pelo site, para impedir qualquer tipo de violação de dados.
Funciona assim: uma chave pública exclusiva e uma chave privada combinam-se para criar uma chave de acesso que permite o login. As aplicações e sites armazenam uma chave pública, enquanto a sua chave privada é armazenada apenas no seu dispositivo e, após este realizar a autenticação da identidade, as duas chaves combinam-se para conceder o acesso necessário.
Normalmente, o dispositivo ou software que gera as chaves de acesso utiliza uma ferramenta de autenticação biométrica, como o FaceID ou TouchID, para autenticar a identidade do utilizador. No caso de um gestor de passwords, pode fazer login na aplicação utilizando uma password mestre forte em vez da autenticação biométrica.
As chaves de acesso são exclusivas para cada aplicação ou site, sendo armazenadas no cofre de um gestor de passwords ou no próprio dispositivo. Estas chaves também podem ser sincronizadas entre os dispositivos do utilizador, tornando-as uma escolha conveniente.
Onde podes utilizar chaves de acesso?
É possível utilizar chaves de acesso para fazer login em muitos sites, como o eBay, Google, Amazon e PayPal. A 1Password, empresa de gestão de passwords, tem um site comunitário onde os utilizadores podem informar quais as plataformas que aceitam esta tecnologia de autenticação.
As chaves de acesso são realmente mais seguras do que as passwords?
Sim, as chaves de acesso são mais seguras do que as passwords comuns, especialmente por utilizarem um sistema de autenticação mais complexo. No entanto, é necessário que as aplicações e sites estejam sempre atualizados para garantir a proteção dos dados.
Em entrevista ao PCMag, Trevor Hilligoss, investigador de segurança e vice-presidente do SpyCloud Labs, disse que a adoção generalizada de passwords é "fantástica", mas os proprietários de sites precisam corrigir algumas outras falhas de segurança.
O investigador observou que os cibercriminosos podem facilmente contornar uma password roubando os cookies validados do navegador através de um malware.
"Pode utilizar uma chave de acesso, gestor de senhas ou qualquer outra coisa, tanto faz, realmente não importa porque a autenticação já aconteceu usando esse cookie. Os cibercriminosos estão a emular uma sessão já autenticada. Então, da perspetiva do site, ele apenas vê que é um cookie válido", disse Hilligoss.
Felizmente, alguns sites permitem que os utilizadores escolham quando os seus tokens de sessão expiram. Para garantir mais segurança, navege até às secções "Cookies" ou "Dados do utilizador" e escolha a menor duração disponível. Dessa forma, os seus cookies expirarão automaticamente ou serão apagados quando fechar a página.
Ainda assim, a melhor maneira de se proteger deste e de outros tipos de problemas que podem violar os seus dados é através de chaves de acesso ou, se não gosta muito desta tecnologia, escolha senhas fortes e exclusivas.
Como gerir chaves de acesso?
Diversos gestores de passwords, como o 1Password e o Dashlane, podem armazenar e criar chaves de acesso. Estas plataformas facilitam o acesso às suas credenciais antigas e às novas chaves ao fazer login em sites e aplicações.