Quantos de nós já se esqueceram da palavra-passe para aceder a uma conta? Provavelmente todos nós, certo? Esse é um dos problemas das antiquadas palavras-passe que todos usamos – hoje em dia, para serem seguras, têm de ser extremamente complexas, o que exige uma extraordinária memória ou, em alternativa, a ajuda de inseguras aplicações de gestão de palavras-passe.

Mas e se houvesse uma forma ainda mais segura de acedermos às nossas contas sem termos de nos lembrar das palavras-passe? A Google acredita que as passkeys são a resposta.

Uma passkey é uma credencial digital que permite aos utilizadores autenticarem-se e iniciarem sessão em aplicações e websites sem terem de memorizar um nome de utilizador e uma palavra-passe, necessitando apenas de um sensor biométrico (impressão digital ou reconhecimento facial), PIN ou padrão.

Ao contrário das palavras-passe, este método de início de sessão não requer um fator de autenticação adicional (como as OTP – One-Time Passwords). De acordo com a Google, isto torna as passkeys mais fáceis de utilizar e 40% mais rápidas do que as palavras-passe. A Google também argumenta que as passkeys são mais seguras, devido ao tipo de criptografia em que se baseiam.

É por isso que a Google está a tornar oficialmente as passkeys na opção de início de sessão padrão para todos os utilizadores. Então, que melhor altura do que esta para descobrirmos mais sobre as vantagens, riscos e desafios das passkeys?

Antes de mais, porque estão as palavras-passe a morrer lentamente?

Quando as palavras-passe foram inventadas pela primeira vez – nos anos 1960, por um professor do MIT –, bastavam palavras simples e fáceis de memorizar para impedir o acesso não autorizado. Hoje em dia, contudo, os hackers são extremamente rápidos a desvendar combinações complexas de caracteres, o que torna as palavras-passe um método de início de sessão inseguro e frágil.

O que acontece é que a maioria das pessoas ou escreve as suas palavras-passe num post-it (físico ou digital), o que não é a mais segura das opções, ou utiliza aplicações de gestão de palavras-passe, que também são facilmente corrompíveis. Prova disso é o que aconteceu à Last Pass, que foi alvo de um preocupante ciberataque em agosto de 2022, e mais recentemente à Okta, cujos dados dos utilizadores foram comprometidos em outubro de 2023.

É verdade que, recentemente, a Autenticação Multifator (MFA) aumentou muito o nível de segurança deste método de login, mas o facto é que continuamos a precisar de nos lembrar da palavra-passe principal para prosseguirmos.

Portanto, em resumo, as palavras-passe já não são vistas como user-friendly ou seguras, o que está a levar ao seu declínio.

O nascimento das passkeys

Em 2012, a Aliança FIDO (Fast Identity Online) foi fundada por vários líderes de empresas de diferentes setores para trabalharem em conjunto num protocolo de autenticação sem palavra-passe.

A primeira versão da chamada autenticação FIDO foi concluída e lançada em 2014, enquanto a FIDO2 viu a luz do dia em 2018, definindo como padrão a autenticação forte FIDO em todos os browsers e infraestruturas de plataformas web relacionadas.

De um modo geral, a autenticação FIDO baseia-se em criptografia de chave pública – a base das passkeys. André Cortez, Administrador de Sistemas e Infraestruturas da act digital explica como funciona: “As passkeys usam uma encriptação que consiste em duas keys: uma pública que fica alojada no host do serviço; e uma privada que está no dispositivo do utilizador. Após aprovação biométrica, é enviada uma chave pública que emparelha com a do serviço e a autenticação é feita. A chave privada nunca é enviada.”

As passkeys são realmente mais seguras do que as palavras-passe?

A resposta parece ser afirmativa. Segundo André Cortez, devido à forma como a encriptação das passkeys funciona, “deixa de haver o risco de roubo de passwords ou de identidade comprometida no caso de perda ou roubo dos próprios dispositivos”, garante.

Elyes Chemengui, especialista em cibersegurança da act digital, concorda com o André, destacando o facto de as passkeys exigirem proximidade física com os dispositivos. “As passkeys ajudam a mitigar o roubo de credenciais através da autenticação física. Não são suscetíveis de sofrerem phishing ou violações de palavras-passe. Isto significa que, se alguém obtiver o teu nome de utilizador e a tua palavra-passe, continuará a precisar da passkey física para aceder à tua conta, reduzindo significativamente o risco de acesso não autorizado e aumentando a segurança global”, esclarece Elyes.

Em suma, o nosso especialista em cibersegurança acredita que “as passkeys podem mitigar eficazmente várias ciberameaças”, nomeadamente:

• Violação de credenciais“Como as passkeys não dependem de palavras-passe, impedem a utilização de informações de login roubadas em tentativas de login automatizadas em diferentes plataformas.”
• Controlo de contas"Uma vez que as passkeys fornecem uma camada adicional de segurança, tornam significativamente mais difícil para os atacantes assumirem o controlo das contas, mesmo que consigam obter algumas informações de início de sessão.”
• Ataques de força bruta“As passkeys não são suscetíveis a ataques de força bruta, em que os atacantes tentam adivinhar as palavras-passe através de métodos automatizados, uma vez que funcionam fora do sistema de autenticação baseado em palavras-passe.”

Desafios da implementação de passkeys

Especificamente no que toca a empresas, quando se trata de integrar passkeys em infraestruturas de IT já existentes, o nosso Administrador de Sistemas e Infraestruturas acredita que, atualmente, não é um problema. “Praticamente todos os telemóveis, tablets e laptops já têm sensores biométricos, por isso parece-me que facilmente se podem adotar estes novos métodos. Do lado dos utilizadores, está garantida a infraestrutura, com os dispositivos e sistemas com capacidade de gerir e reconhecer registos biométricos. Resta agora às empresas adaptar as suas infraestruturas atuais para aceitarem passkeys.”

Elyes Chemengui, por outro lado, acredita que o processo de “garantir a compatibilidade e a integração harmoniosa das passkeys com os sistemas e software existentes pode impor desafios durante o processo de adoção, causando potenciais perturbações nos fluxos de trabalho”. “Podem ser necessários ajustes ou atualizações da configuração atual. Um plano de implementação pode minimizar as perturbações”, explica.

No que diz respeito a políticas de privacidade e controlo, ambos os especialistas da act digital manifestam alguma preocupação. “Um dos benefícios das passkeys é o sincronismo entre dispositivos dentro do mesmo ecossistema. Apesar de conveniente para os utilizadores, é um problema em termos de controlo, segurança e compliance. Dispositivos pessoais e passkeys que sincronizam entre si podem significar credenciais e dados corporativos partilhados com pessoas fora da organização”, alerta André Cortez. E Elyes acrescenta: “A biometria e outros métodos avançados de autenticação implicam a recolha e o armazenamento de dados sensíveis dos utilizadores. Garantir a privacidade e o tratamento seguro destes dados é crucial”.

Além destes desafios, o nosso especialista em cibersegurança identifica mais alguns potenciais problemas que as empresas devem ter em conta:

• Dependência de dispositivos físicos“As empresas que utilizam passkeys podem ter problemas se os funcionários se esquecerem, perderem ou danificarem as suas chaves. Esta dependência de um dispositivo físico pode causar problemas de acesso e um potencial tempo de inatividade se não existirem substitutos imediatamente disponíveis.”
• Custo e logística“A implementação de passkeys numa organização implica custos de aquisição e distribuição destes dispositivos físicos. A gestão e a substituição de chaves perdidas ou danificadas também podem aumentar as despesas logísticas.” 
• Ponto único de falha“Embora as passkeys aumentem a segurança, se um atacante obtiver acesso físico à passkey de um funcionário, poderá contornar outras medidas de segurança, representando um risco se não for adequadamente mitigado.”

Boas práticas das passkeys

De acordo com os nossos especialistas, ao transitarem para um método de autenticação através de passkeys, as empresas e os seus funcionários devem ter em conta as seguintes medidas de segurança:

• Armazenamento seguroA passkey deve ser protegida tal como qualquer outro objeto de valor. Deve ser guardada num local seguro, evitando que fique sem vigilância ou facilmente acessível a outras pessoas.
• Comunicação de passkeys perdidas ou roubadasDeve ser comunicada imediatamente a perda ou o roubo de passkeys à equipa de IT ou de segurança. Isto garante uma ação rápida, como a desativação da chave para impedir o acesso não autorizado. 
• Atualizações regulares de softwareO firmware da passkey e o software associado devem permanecer atualizados para garantir correções e melhorias de segurança. 
• Evitar partilha ou empréstimo de passkeysAs empresas devem incentivar os seus funcionários a não partilharem ou emprestarem as suas passkeys, uma vez que isso compromete a segurança. Deve ser disponibilizada formação sobre como utilizar as passkeys, incluindo as melhores práticas e o que fazer em caso de perda ou roubo.
• Conformidade regulamentarÉ necessário garantir que os sistemas de passkeys cumprem as normas e regulamentos do setor para evitar problemas legais e de compliance.
• MonitorizaçãoA implementação de um sistema robusto para monitorizar, gerir e substituir as passkeys, bem como garantir atualizações e correções atempadas, é fundamental para a segurança contínua.

Quem já utiliza passkeys?

Além da Google, as seguintes empresas já apoiam a utilização de passkeys como alternativas às palavras-passe:

• PayPal
• Adobe
• TikTok
• GitHub
• Microsoft
• Amazon
• WhatsApp
• Uber
• X
• LinkedIn
• eBay
• E outras…

Num futuro próximo…

Apesar de as passkeys serem o método de início de sessão predefinido para todos os utilizadores, a Google continuará a apoiar as palavras-passe tradicionais. Isto significa que os utilizadores podem continuar a utilizá-las, se assim o preferirem, bastando desativar a opção “Ignorar palavra-passe quando possível”.

No entanto, especialistas da indústria, no geral, concordam que as passkeys parecem ser o futuro, não só porque são mais seguras, mas também porque são mais fáceis de utilizar.

Apesar dos potenciais riscos e desafios mencionados anteriormente, o nosso especialista em cibersegurança é perentório ao afirmar: “Sim, acredito que veremos um futuro sem palavras-passe”.