A tecnologia que elimina senhas, conhecida como “chaves de acesso”, proliferou nos últimos dois anos, desenvolvida pela associação da indústria de tecnologia conhecida como FIDO Alliance como uma alternativa de autenticação mais fácil e segura. E embora substituir uma tecnologia tão enraizada quanto senhas seja difícil, novos recursos e iniciativas lançados esta semana estão empurrando as chaves de acesso em direção a um ponto de inflexão.
Na conferência Authenticate da FIDO Alliance em Carlsbad, Califórnia, na segunda-feira, os pesquisadores anunciaram dois projetos que tornarão as chaves de acesso mais fáceis para as organizações oferecerem – e mais fáceis para todos usarem. Um é uma nova especificação técnica chamada Protocolo de Troca de Credenciais (CXP) que tornará as chaves de acesso portáteis entre ecossistemas digitais, um recurso que os usuários têm solicitado cada vez mais. O outro é um site, chamado Passkey Central, onde desenvolvedores e administradores de sistemas podem encontrar recursos como métricas e guias de implementação que facilitam a adição de suporte para chaves de acesso em plataformas digitais existentes.
“Para mim, ambos os anúncios fazem parte da história mais ampla da indústria trabalhando junta para parar nossa dependência de senhas”, disse Andrew Shikiar, CEO da FIDO Alliance, à WIRED antes dos anúncios de segunda-feira. “E quando se trata de CXP, temos todas essas empresas que são concorrentes ferozes dispostas a colaborar na troca de credenciais.”
O CXP compreende um conjunto de especificações preliminares desenvolvidas pelo “Grupo de Interesse Especial de Provedores de Credenciais” da FIDO Alliance. O desenvolvimento de padrões técnicos pode muitas vezes ser um processo burocrático complicado, mas a criação do CXP parece ter sido positiva e colaborativa. Pesquisadores dos gerenciadores de senhas 1Password, Bitwarden, Dashlane, NordPass e Enpass trabalharam no CXP, assim como aqueles dos provedores de identidade Okta, bem como Apple, Google, Microsoft, Samsung e SK Telecom.
As especificações são significativas por algumas razões. O CXP foi criado para chaves de acesso e visa abordar uma crítica de longa data de que as chaves de acesso poderiam contribuir para o bloqueio do usuário, tornando proibitivamente difícil para as pessoas se moverem entre fornecedores de sistemas operacionais e tipos de dispositivos. De muitas maneiras, no entanto, esse problema já existe com senhas. Recursos de exportação que permitem mover todas as suas senhas de um gerenciador para outro estão frequentemente perigosamente expostos e essencialmente apenas despejam uma lista de todas as suas senhas em um arquivo de texto simples.
Ficou muito mais fácil sincronizar chaves de acesso entre seus dispositivos por meio de um único gerenciador de senhas, mas o CXP visa padronizar o processo técnico para transferi-las com segurança entre plataformas, para que os usuários possam navegar livremente – e com segurança – pelo cenário digital. Importante, enquanto o CXP foi projetado com chaves de acesso em mente, é realmente uma especificação que pode ser adaptada para trocar com segurança outros segredos também, incluindo senhas ou outros tipos de dados.
“No futuro, isso pode se aplicar a carteiras de motorista móveis, por exemplo, ou passaportes – qualquer segredo que você queira exportar para algum lugar e importar para outro sistema”, diz Christiaan Brand, gerente de produto do grupo de identidade e segurança do Google, à WIRED. “Nós já resolvemos a maioria das arestas com as chaves de acesso, mas um dos principais pontos de feedback negativo no último ano foi sobre portabilidade e potencial bloqueio de fornecedor. Acho que com isso, estamos sinalizando ao mundo que as chaves de acesso estão amadurecendo.”
O objetivo do repositório de recursos Passkey Central é, de maneira semelhante, ajudar o ecossistema a expandir e amadurecer. Líderes de produtos ou profissionais de segurança que desejam implementar chaves de acesso para sua base de usuários podem precisar fazer um caso de negócios para executivos para obter orçamento para o projeto. A FIDO Alliance está basicamente tentando ajudá-los com a apresentação – fornecendo dados e materiais de comunicação – e, em seguida, apoiando seu lançamento com materiais pré-fabricados, como guias de implementação e lançamento, diretrizes de experiência e design do usuário, documentação sobre acessibilidade e solução de problemas.
“Fizemos um progresso incrível nas chaves de acesso”, diz Shikiar da FIDO. “Usabilidade e experiência do usuário estão praticamente lá. Mas temos uma lista de tarefas e estamos trabalhando ativamente nela. A portabilidade é um recurso importante nessa lista. E enquanto as maiores marcas do planeta estão agora usando chaves de acesso em grande escala, há uma longa lista de empresas que ainda não começaram. Portanto, queremos oferecer recursos e os ativos de que precisam para ter sucesso.”
A coalizão Cyber Civil Defense da Craig Newmark Philanthropies fornece algum financiamento para avançar as chaves de acesso. Em uma entrevista com a WIRED antes dos anúncios de segunda-feira, Newmark disse que acredita que as chaves de acesso podem fazer uma diferença real tanto para a segurança digital de indivíduos quanto para a segurança da internet como um todo.
“Existem muitos sistemas vulneráveis por aí”, diz Newmark. “Você precisa tornar muito mais difícil para os maus atores derrotarem esquemas de senhas. Você precisa tornar tudo mais seguro e as chaves de acesso são parte disso.