Há décadas que as palavras-passe são a forma normal de proteger as contas online, mas apresentam riscos. Os cibercriminosos podem roubá-las através de ataques de phishing, violações de dados ou adivinhação por força bruta. Plus, lembrar-se de palavras-passe complexas para várias contas é um incómodo. As Passkeys oferecem uma solução moderna, eliminando totalmente as palavras-passe tradicionais, proporcionando uma experiência de início de sessão mais segura e sem problemas.
O que são chaves de acesso?
As chaves de acesso são uma forma moderna de iniciar sessão em contas sem necessitar de uma palavra-passe. Em vez de digitar uma longa sequência de caracteres, os utilizadores podem iniciar sessão com uma impressão digital, uma leitura facial ou um PIN do dispositivo. As chaves de acesso utilizam tecnologia de segurança avançada para proteger as contas dos piratas informáticos, tornando os inícios de sessão mais rápidos e fáceis.
Passkey vs. palavra-passe: qual é a diferença?
Ao contrário das palavras-passe, as chaves de acesso utilizam encriptação de chave pública-privada, o que as torna muito mais difíceis de roubar. As palavras-passe tradicionais dependem de os utilizadores criarem e memorizarem combinações complexas de letras, números e símbolos. No entanto, mesmo as palavras-passe fortes podem ser roubadas, adivinhadas ou divulgadas em violações de dados. As passkeys eliminam estes riscos através de uma abordagem diferente à autenticação.
Eis como as chaves de acesso diferem das palavras-passe:
- Sem segredos partilhados: Uma palavra-passe é algo que se partilha com um sítio Web, o que a torna vulnerável. Uma chave de acesso mantém a parte secreta no seu dispositivo e nunca a partilha. Mesmo que um sítio Web seja pirateado, não existe uma palavra-passe armazenada que os criminosos possam roubar.
- Proteção contra phishing: Um hacker pode induzi-lo a introduzir a sua palavra-passe num site falso, mas as chaves de acesso só funcionam no site real para o qual foram criadas. Isto significa que os ataques de phishing que se baseiam no roubo de credenciais de início de sessão tornam-se ineficazes.
- Acabaram-se as reposições de palavras-passe: Esquecer-se das palavras-passe e redefini-las é frustrante. Com as passkeys, não tem de se preocupar em lembrar-se de nada - basta utilizar a sua impressão digital, digitalização facial ou PIN para se autenticar de forma segura. Isto elimina o incómodo de repor as credenciais quando se fica bloqueado numa conta.
As chaves de acesso foram concebidas para serem mais seguras e simplificarem o processo de início de sessão. Como resultado, eliminam os maiores pontos fracos das palavras-passe tradicionais: erro humano e roubo de credenciais. Esta inovação torna a autenticação em linha mais segura e mais fácil de utilizar.
Como é que as chaves de acesso funcionam?
As chaves de acesso tornam os inícios de sessão online mais seguros, utilizando uma chave digital segura armazenada no seu dispositivo, como um smartphone ou computador. Em vez de digitar uma palavra-passe, o seu dispositivo verifica automaticamente quem é o utilizador. Isto significa que os piratas informáticos não podem roubar ou adivinhar a sua palavra-passe, porque não existe uma - a sua chave-mestra permanece em segurança no seu dispositivo e funciona apenas para si. O processo é simples:
Criação: Quando inicia sessão num serviço, o seu dispositivo cria uma chave de acesso. Isto envolve a geração de um par de chaves criptográficas - uma chave pública que é partilhada com o serviço online e uma chave privada que permanece em segurança no seu dispositivo.
Autenticação: Para iniciar sessão, o serviço envia um desafio para o seu dispositivo. O seu dispositivo assina este desafio com a chave privada, que só pode ser desbloqueada com um fator como uma impressão digital, uma digitalização facial ou um PIN.
Verificação: O serviço em linha verifica o desafio assinado utilizando a chave pública, confirmando a sua identidade sem nunca ver ou armazenar a sua chave privada.
Este método significa que, mesmo que um serviço seja comprometido, a sua segurança online permanece segura com a chave-passe porque não existe uma palavra-passe real ou uma chave privada armazenada no servidor. Trata-se de um passo revolucionário para eliminar as vulnerabilidades das palavras-passe tradicionais e tornar os inícios de sessão mais simples e seguros.
Como configurar as chaves de acesso
A configuração de chaves de acesso é simples e varia consoante a plataforma.
Como utilizar as chaves de acesso com o Google
- Aceda às definições da Conta Google.
- Navegue até Segurança > Chaves de acesso.
- Siga os passos apresentados no ecrã para criar uma chave-mestra.
- Ativar a sincronização para utilização em vários dispositivos.
Como configurar chaves de acesso em dispositivos Apple
- Abra as Definições e aceda a Palavras-passe.
- Ativar as Chaves de iCloud.
- Criar uma chave de acesso quando solicitado pelos sítios Web suportados.
- Utilize o Touch ID ou o Face ID para uma autenticação fácil.
Grandes empresas tecnológicas que apoiam as passkeys
À medida que as passkeys ganham força, as principais empresas e organizações tecnológicas estão a impulsionar a sua adoção, integrando este método de autenticação sem palavra-passe nos seus ecossistemas. Este impulso está a facilitar aos utilizadores de todo o mundo a transição para as palavras-passe tradicionais.
Os seguintes líderes do sector estão na vanguarda da adoção da chave-mestra:
Aliança FIDO: Este grupo desempenha um papel crucial no desenvolvimento e normalização de métodos de autenticação sem palavra-passe. Ao colaborar com as principais empresas de tecnologia, a FIDO Alliance assegura a compatibilidade entre plataformas e a adoção generalizada de chaves de acesso.
Google: As chaves de acesso estão integradas nos serviços da Google e no seu Password Manager, permitindo aos utilizadores criar e sincronizar chaves de acesso nos seus dispositivos. Recentemente, a Google expandiu o suporte de passkeys para iPhones e iPads, permitindo a sincronização total através do Chrome e do Gestor de palavras-passe da Google.
Apple: Os dispositivos Apple, incluindo iPhones, iPads e Macs, suportam passkeys através do iCloud Keychain, assegurando uma autenticação perfeita entre dispositivos no ecossistema Apple. A Apple continua a promover as chaves de acesso como parte das suas iniciativas mais alargadas de segurança e privacidade.
Microsoft: Os utilizadores Windows podem iniciar sessão com passkeys, e a Microsoft está a expandir ativamente o suporte em todos os seus serviços. A empresa pretende reduzir a dependência de palavras-passe e mitigar os riscos de roubo de credenciais.
Amazon, PayPal e LinkedIn: Estas plataformas introduziram a autenticação por chave de acesso para fornecer aos utilizadores uma forma mais segura e conveniente de iniciar sessão. A Amazon, em particular, suporta passkeys para transacções seguras em vários dispositivos.
Vantagens das chaves de acesso
As chaves de acesso oferecem uma melhoria significativa em relação às palavras-passe tradicionais, tornando a autenticação online mais segura e mais fácil de utilizar. Ao contrário das palavras-passe, que podem ser roubadas, adivinhadas ou divulgadas, as chaves de acesso fornecem um método encriptado e resistente a phishing para iniciar sessão em contas sem o incómodo da memorização.
Prestações de segurança
A autenticação Passkey aumenta a segurança utilizando encriptação e credenciais ligadas ao dispositivo em vez de palavras-passe. As chaves privadas permanecem no dispositivo do utilizador e nunca são partilhadas com as aplicações. Isto elimina riscos como a reutilização de palavras-passe e o phishing, proporcionando uma experiência de início de sessão segura e sem problemas, sem a necessidade de recordar ou gerir palavras-passe tradicionais.
A segurança é uma das maiores vantagens das chaves de acesso. Uma vez que não são armazenadas numa base de dados central, não podem ser roubadas numa violação de dados como as palavras-passe. Em vez disso, as chaves de acesso utilizam um método de encriptação seguro para garantir que apenas o proprietário legítimo pode aceder a uma conta.
Eis porque é que são mais seguros:
Resistência ao phishing: Mesmo que um hacker crie um sítio Web falso, a sua chave-mestra não funcionará nesse sítio, mantendo as suas contas seguras.
Sem fugas de palavras-passe: Uma vez que as palavras-passe não são armazenadas, os piratas informáticos não as podem roubar numa violação de dados.
Encriptação forte: As chaves de acesso baseiam-se em técnicas criptográficas avançadas, o que as torna quase impossíveis de decifrar.
Para configurar e utilizar as chaves de acesso num dispositivo móvel, tem de ter, pelo menos, Android 9 ou iOS 16. Nos computadores de secretária, tem de estar instalado Windows 10 ou o macOS 13 Ventura ou superior. Também tem de estar a utilizar um browser suportado (Safari 16, Google Chrome 109 e Microsoft Edge 109) ou mais recente. Além disso, pode ser utilizada qualquer chave de segurança com certificação FIDO, incluindo chaves físicas baseadas em NFC e USB.
Tornar os logins mais fáceis e rápidos
Para além da segurança, as chaves de acesso também oferecem uma experiência de início de sessão sem atritos. Com as palavras-passe tradicionais, os utilizadores têm frequentemente de repor credenciais esquecidas, lutar com gestores de palavras-passe ou voltar a introduzir palavras-passe em vários dispositivos. As chaves de acesso eliminam estes pontos problemáticos:
- Não há palavras-passe para memorizar: Chega de escrever ou repor palavras-passe esquecidas.
- Início de sessão rápido: Uma rápida leitura de impressões digitais ou reconhecimento facial permite-lhe iniciar sessão instantaneamente.
- Sincronização entre dispositivos: As chaves de acesso armazenadas em serviços na nuvem (Google, Apple) podem ser utilizadas em vários dispositivos, assegurando um acesso contínuo sem necessidade de voltar a introduzir as credenciais de início de sessão.
As chaves de acesso são obrigatórias ou posso continuar a utilizar palavras-passe se quiser?
As chaves de acesso não são obrigatórias; são uma alternativa às palavras-passe tradicionais. Os utilizadores podem optar por continuar a utilizar palavras-passe, se assim o preferirem. Por exemplo, o Google permite que os utilizadores optem por não utilizar passkeys, desactivando a funcionalidade "Ignorar palavra-passe sempre que possível" nas definições da conta.
Desafios e limitações das chaves de acesso
As chaves de acesso proporcionam maior segurança e facilidade de utilização, mas ainda não substituíram totalmente as palavras-passe. Muitos sítios Web ainda exigem logins tradicionais e os utilizadores podem hesitar em mudar devido à falta de conhecimento ou a preocupações com a compatibilidade. As empresas também precisam de tempo para adotar as chaves de acesso e educar os utilizadores sobre as suas vantagens.
Porque é que as chaves de acesso ainda não estão em todo o lado?
Apesar das suas vantagens, as passkeys ainda não são universalmente adoptadas. Muitos sítios Web ainda utilizam as palavras-passe tradicionais juntamente com as passkeys, o que dificulta uma transição completa. Os utilizadores podem hesitar em mudar devido a uma falta de conhecimento ou incerteza sobre o funcionamento das chaves de acesso. Além disso, as empresas precisam de tempo para integrar totalmente o suporte de chaves de acesso nas suas plataformas, o que requer investimento em tecnologia e formação dos utilizadores. À medida que a sensibilização aumenta e mais empresas implementam as chaves de acesso, espera-se que a adoção aumente de forma constante.
As chaves de acesso podem funcionar em todos os dispositivos?
As chaves de acesso funcionam melhor em ecossistemas individuais, como o da Google e o da Apple, garantindo uma autenticação perfeita entre dispositivos ligados à mesma conta. O Google Password Manager sincroniza as chaves de acesso em todos os dispositivos Google com sessão iniciada, enquanto o iCloud Keychain da Apple faz o mesmo para os dispositivos Apple.
No entanto, a compatibilidade entre plataformas continua a ser um desafio, embora as actualizações recentes tenham melhorado a interoperabilidade:
- A Google permite agora a sincronização total de chaves de acesso em iPhones e iPads através do Chrome e do Gestor de palavras-passe da Google. Anteriormente, as chaves de acesso armazenadas pela Google no iOS só podiam ser sincronizadas através do iCloud Keychain da Apple, mas agora as chaves de acesso criadas no Chrome no iOS são automaticamente sincronizadas nos dispositivos ligados à Google e vice-versa.
- O iCloud Keychain da Apple ainda não suporta a sincronização de chaves de acesso com dispositivos Android .
- Android 14 permite agora que as chaves de acesso sejam armazenadas em gestores de palavras-passe de terceiros, aumentando a flexibilidade para os utilizadores que alternam entre ecossistemas.
- A Microsoft, embora suporte as chaves de acesso no Windows, ainda não introduziu a sincronização completa entre plataformas.
Para os utilizadores que alternam frequentemente entre ecossistemas, os gestores de palavras-passe de terceiros, como o 1Password e o Bitwarden, fornecem uma forma alternativa de sincronizar as chaves de acesso entre dispositivos.
Posso utilizar chaves de acesso em dispositivos públicos ou partilhados?
A utilização de chaves de acesso em dispositivos públicos ou partilhados é possível, mas deve ser abordada com cautela:
- Acesso temporário: Alguns serviços permitem a utilização de chaves de acesso através de códigos QR ou métodos semelhantes, permitindo o acesso temporário sem armazenar as suas credenciais no dispositivo público. Por exemplo, ao iniciar sessão num serviço num computador público, pode utilizar o seu smartphone para ler um código QR, permitindo-lhe autenticar-se sem deixar a sua chave de acesso na máquina pública.
- Considerações de segurança: É fundamental garantir que nenhuma informação sensível é guardada no dispositivo público após a sua sessão. Termine sempre a sessão e evite guardar informações de início de sessão quando utilizar dispositivos partilhados.
Ao compreender estes aspectos, os utilizadores podem tomar decisões informadas sobre a adoção de chaves de acesso e a gestão eficaz da sua segurança digital.
Como recuperar as suas chaves de acesso se perder o seu dispositivo
Se perder o dispositivo que armazena as suas chaves de acesso, a recuperação depende do ecossistema que está a utilizar:
- Dispositivos Apple: As chaves de acesso são armazenadas nas Chaves de iCloud e são sincronizadas entre os seus dispositivos Apple. Se todos os seus dispositivos se perderem, pode recuperar as suas chaves de acesso iniciando sessão na sua conta iCloud num novo dispositivo e restaurando a partir das Chaves de iCloud.
- Contas do Google: As chaves de acesso são armazenadas na sua Conta Google e sincronizadas entre dispositivos através do Gestor de palavras-passe do Google. Se perder o seu dispositivo, pode iniciar sessão na sua Conta Google noutro dispositivo e desativar a palavra-passe associada ao dispositivo perdido para manter a segurança.
É aconselhável definir chaves de acesso em vários dispositivos para garantir o acesso em caso de perda de um deles.
O futuro das chaves de acesso
As chaves de acesso estão destinadas a tornar-se a norma para a autenticação segura, com melhorias contínuas no horizonte.
O que se segue na segurança das chaves de acesso?
Com o avanço da tecnologia, espera-se que as chaves de acesso se tornem ainda mais seguras e amplamente adoptadas. Os programadores e os especialistas em segurança estão a trabalhar em novas melhorias para tornar as chaves de acesso não só mais seguras, mas também mais convenientes para os utilizadores. Estas melhorias têm como objetivo reforçar os processos de autenticação, melhorar a privacidade e aumentar a compatibilidade entre diferentes plataformas.
- Autenticação baseada em IA: As futuras chaves de acesso podem integrar inteligência artificial para detetar comportamentos de início de sessão invulgares e assinalar potenciais ameaças à segurança em tempo real. Os sistemas baseados em IA poderão analisar padrões de início de sessão e solicitar verificações adicionais se algo parecer suspeito.
- Integração da cadeia de blocos: A descentralização do armazenamento de chaves de acesso pode proporcionar uma segurança ainda maior, eliminando pontos únicos de falha. Utilizando a tecnologia blockchain, as chaves de acesso podem ser armazenadas de forma distribuída, tornando o acesso não autorizado quase impossível.
- Biometria avançada: Embora a impressão digital e o reconhecimento facial já sejam amplamente utilizados, novos métodos biométricos, como o reconhecimento de voz ou a autenticação comportamental, podem aumentar ainda mais a segurança. Estes métodos analisam as caraterísticas únicas do utilizador, dificultando ainda mais o acesso não autorizado dos atacantes.
Com os avanços contínuos, as chaves de acesso estão a caminho de se tornarem a norma para a autenticação online segura. As empresas estão a investir em autenticação baseada em IA, segurança baseada em blockchain e biometria avançada para melhorar ainda mais as suas capacidades.
H3: Tendências e previsões do sector
A FIDO Alliance está a trabalhar ativamente para aperfeiçoar e expandir as normas para a adoção da chave-passe. O seu objetivo é garantir uma integração perfeita em diferentes plataformas, tornando a autenticação sem palavra-passe mais acessível para os utilizadores de todo o mundo.
Ao mesmo tempo, as empresas estão a reconhecer as vantagens de segurança e conveniência das chaves de acesso e a avançar gradualmente para um futuro sem palavras-passe. As grandes empresas estão a investir em tecnologia e infra-estruturas para apoiar esta mudança, ajudando os utilizadores a abandonar os tradicionais logins baseados em palavras-passe.
À medida que a adoção continua a crescer, as passkeys estão no bom caminho para se tornarem o método de início de sessão predefinido nas principais plataformas. Com o apoio de gigantes da tecnologia como a Google, a Apple e a Microsoft, os utilizadores podem esperar um futuro em que a autenticação segura seja fácil e as palavras-passe se tornem obsoletas.