Princípios importantes
- iCloud Passkey elimina as senhas e torna os logins muito mais seguros.
- WebAuthn é um navegador padrão para autenticação sem senha.
- Ambos WebAuthn e iCloud Passkey usam criptografia de chave pública para fazer a ação.
Com a chave de acesso do iCloud, a Apple está prestes a tornar a senha obsoleta. Finalmente.
Senhas são um grande problema. Senhas fracas ou roubadas estão por trás de mais de 80% das violações de hackers, e as pessoas são terríveis no gerenciamento de senhas. Nós os esquecemos, usamos o nome de nossos cães ou filhos ou usamos a mesma senha para tudo. Gerenciadores de senhas como NordPass ou iCloud Keychain podem ajudar, mas uma senha ainda é fundamentalmente insegura. As chaves de acesso no iCloud Keychain e o novo WebAuthn padrão querem corrigir isso, mas eles podem realmente substituir a senha?
"Se a Apple lançar isso como padrão em seus dispositivos, milhões de pessoas se acostumarão e outros gigantes da tecnologia como o Google seguirão o exemplo", disse Christen Costa, CEO da Gadget Review, à Lifewire por e-mail.
Chaves Públicas
O problema com uma senha é que ela precisa ser mantida em segredo, mas também precisa ser compartilhada. As chaves de acesso do iCloud usam algo chamado criptografia de chave pública. Este consiste em duas chaves. A chave pública só pode bloquear coisas, então é seguro compartilhar; a chave privada pode bloquear e desbloquear dados e nunca sai do seu dispositivo.
Quando você se inscreve em um site ou serviço usando chaves de acesso do iCloud ou WebAuthn, um novo par de chaves é gerado e a chave pública é compartilhada com o serviço, substituindo uma senha. O problema é que você precisará usar um de seus próprios dispositivos para fazer login, mas, na prática, isso raramente será um problema, e os benefícios de segurança são enormes. E se você já usa um gerenciador de senhas e autenticação de dois fatores, então você já está em um dispositivo executando seu aplicativo gerenciador de senhas.
Outro problema, porém, é se um invasor se apoderar do seu dispositivo e conseguir acessá-lo, todas as apostas serão canceladas. No entanto, dispositivos iOS e Mac modernos são muito difíceis de decifrar, e roubar um telefone é muito mais trabalhoso do que enviar e-mails de phishing.
Senhas no chaveiro do iCloud são fáceis
O uso de senhas no iCloud Keychain é simples. Quando você se inscreve em uma nova conta de usuário em um site, você insere um endereço de e-mail e seu iPhone solicitará que você confirme que está criando uma conta. É isso. A nova senha é armazenada em seu chaveiro e a parte pública é armazenada pelo site.
A grande diferença é que a chave pública foi projetada para ser pública. Não precisa ser escondido ou mantido em segredo. Se o site for hackeado, roubar todas essas chaves públicas é inútil, porque eles não farão nada. Aquelas violações massivas de senhas sobre as quais você lê a cada poucas semanas? Eles serão uma coisa do passado.
"Se examinarmos como as senhas funcionam hoje, primeiro você digita sua senha, então ela geralmente é ofuscada por algo como hashing plus s alting, e o hash salgado resultante é enviado para o servidor ", diz Garrett Davidson, da Apple, em um WWDC sessão chamada "Mover além das senhas". "Agora, você e o servidor têm uma cópia do segredo, mesmo que a cópia do servidor esteja ofuscada, e ambos são igualmente responsáveis por proteger esse segredo."
E seu gerenciador de senhas?
Esta tecnologia pode parecer uma ruína para aplicativos gerenciadores de senhas, mas faz pouca diferença. A maioria dos usuários já conta com o gerenciador de senhas do iCloud integrado.
Usuários avançados, o tipo de pessoa que gosta de recursos extras e está desacoplando suas senhas de seu ID Apple, continuarão usando aplicativos independentes.
Se a Apple lançar isso como padrão em seus dispositivos, milhões de pessoas se acostumarão e outros gigantes da tecnologia, como o Google, seguirão o exemplo.
"Ninguém quer mais concorrentes, mas essas soluções integradas não são o foco principal do navegador", diz Chad Hammond, especialista em segurança da Nordpass. "Portanto, eles não resolvem os mesmos problemas globais que os gerenciadores de senhas. A principal função de um navegador é dar ao usuário acesso às informações, e um gerenciador de senhas é apenas um dos muitos recursos que ele oferece. Em gerenciadores de senhas dedicados, é o recurso principal."
Por outro lado, o alcance da Apple pode colocar essa nova tecnologia de autenticação em muitas mãos, o que é uma vitória para todos. Os pagamentos sem contato existiam antes do Apple Pay, mas só decolaram nos EUA depois que a Apple o adicionou ao iPhone. As senhas não vão desaparecer tão cedo, mas finalmente temos uma alternativa que é inerentemente segura, fácil de usar e não permite que você use o nome do seu cão. Novamente.
