As senhas não funcionam tão bem para os nossos sites e aplicativos modernos: elas são inseguras, difíceis de lembrar e muito trabalhosas para gerenciar a proteção básica de conta que elas fornecem. Agora, o Chrome e o Firefox estão liderando o movimento para eliminar as senhas da internet para sempre.

Como a segurança de sites HTTPS torna a internet mais protegida de invasores
Por que as suas senhas não são fortes o bastante — e o que fazer a respeito

Esse último esforço em tornar os logins perfeitos, seguros e suaves é fornecido pelo padrão de Autenticação da Web proposto pela Aliança FIDO (Fast Identity Online) para protocolos de autenticação e pelo World Wide Web Consortium (W3C), a organização de padrões responsável pela maior parte do que compõe a internet. Ele é suportado no Firefox 60 e no Chrome 67, e é assim que ele funciona.

Senhas são ruins e biometria é boa

Foto: Alex Cranz (Gizmodo)

A idéia por trás da Autenticação da Web (também conhecida como WebAuthn) é que você possa usar todos os tipos de opções em vez de uma senha: uma impressão digital, uma webcam, um pendrive conectado ao seu computador, e assim por diante. Esses métodos de login existem há alguns anos, mas a Autenticação da Web foi projetada para padronizá-los na internet e ser integrada de maneira mais transparente às autenticações online.

Como acontece com uma autenticação por senha, o protocolo permite que os sites desafiem os usuários a provar sua identidade. Neste caso, porém, tudo é trancado e protegido o máximo possível – ele só funciona em HTTPS e nenhuma informação pessoal é transmitida, então ninguém que estiver olhando por cima do seu ombro conseguirá roubar suas credenciais.

Na prática, ele funciona de algumas maneiras diferentes, mas um cenário é se inscrever com uma nova conta em um site usando o seu telefone. Em vez de digitar outro nome de usuário ou senha, ele pergunta se você deseja registrar seu dispositivo atual – escolha sim, confirme sua identidade com uma impressão digital ou um código PIN (como faria se estivesse comprando algo de uma loja de aplicativos) e, se você estiver conectado em um laptop, poderá receber uma solicitação para fazer login usando seu telefone. Em seguida, use a impressão digital do telefone ou o método de login facial para provar que você é quem diz ser, com comunicação manipulada via NFC ou Bluetooth. Como alternativa, o site pode verificar se há um pendrive previamente registrado no laptop ao invés de solicitar uma senha.

Captura de tela: Gizmodo

É realmente uma extensão lógica do que os navegadores já fazem: Lembrar suas senhas para você e preencher automaticamente os campos de autenticação sempre que eles apareçam. Muitos de nós já têm todas as nossas credenciais de login armazenadas com segurança no navegador, com algo parecido com uma senha de conta do Windows ou do macOS impedindo que outras pessoas acessem o navegador e abrindo qualquer site que eles quiserem.

Com o WebAuthn, essa ideia fica ainda mais simples, com apenas um toque em muitos casos. Um benefício adicional é que, na próxima vez em que um lote de senhas vazar na internet, você não precisa se preocupar tanto, pois ainda tem sua impressão digital, ou os contornos do rosto, ou um pendrive físico para usar.

Se você usa o Smart Lock em um Chromebook ou o Apple Watch para desbloquear seu Mac, é quase exatamente isso. Quando a tela de login da área de trabalho aparecer, se um dispositivo verificado estiver por perto, o processo de login será automático – não é necessário selecionar uma conta de usuário ou digitar uma senha. O que o WebAuthn está procurando fazer tornar o acesso aos sites fácil assim.

Ainda há problemas a serem solucionados, como um sistema robusto de recuperação no caso de você ser hackeado e garantir a facilidade de trocar de um telefone antigo para um novo ao fazer um upgrade. Mas é um avanço significativo, tanto em termos de conveniência quanto de segurança, de inventar em 100 senhas e nomes de usuários diferentes, ou até mesmo ter que iniciar um aplicativo de autenticação de dois fatores toda vez que você quiser fazer login em algum lugar novo.

Como mencionamos, a tecnologia já é suportada nas versões estáveis ​​do Mozilla Firefox e do Google Chrome, e está chegando ao Microsoft Edge em um futuro próximo. Até agora, a Apple não fez muito comentário sobre o suporte ao WebAuthn no Safari – a empresa é um membro do W3C, mas não do FIDO, então interprete como quiser.

Quando posso usá-lo?

Captura de tela: Facebook

Mesmo com esse suporte a navegadores, ainda é uma tecnologia experimental e apenas um padrão recomendado pelo W3C que os sites adotem –não uma necessidade. Nós ainda não vimos nenhum site popular de consumo fazer uso da nova tecnologia, embora os grandes nomes da indústria estejam dando sinais que irão suportar o WebAuthn no futuro.

Você no entanto você já pode usar algo parecido com o WebAuthn. Uma opção é o padrão FIDO Universal 2nd Factor (U2F), uma espécie de antecessor da Autenticação da Web –o Gmail é um site que suporta o U2F, em vez de usar um aplicativo de autenticação, você pode usar um pendrive verificado. A tecnologia também funciona com o Facebook. Ela não vai substituir a sua senha, mas vai adicionar uma proteção de dois fatores.

Enquanto esperamos a chegada do WebAuthn, você deveria ao menos estar armazenando suas senhas com a maior segurança possível. Faz tempo que defendemos a ideia de usar um gerenciador de senhas confiável para controlar as suas credenciais, e os melhores pacotes irão até sugerir senhas difíceis de serem quebradas para novos sites. Esses gerenciadores de senhas, incluindo o 1Password, o Keeper, o Dashlane e o LastPass, funcionam em computadores e dispositivos móveis, para aplicativos e sites.

A maioria dos navegadores modernos já faz muito desse gerenciamento de senhas para você, e se você ainda não tiver ativado a funcionalidade, vale a pena fazê-lo enquanto espera que o WebAuthn acabe de vez com as senhas – no Chrome você pode encontrar a opção em Avançado e Gerenciar senhas em Configurações, por exemplo; no Firefox, está em Privacidade e Segurança e em Formulários e Senhas nas Preferências.

Imagem: Google

O gerenciamento de senhas do Safari vai além do navegador com a ajuda do iCloud Keychain, um sistema completo para lembrar nomes de usuários e senhas em vários dispositivos (desde que esses dispositivos sejam fabricados pela Apple) – você pode configurá-lo através do iCloud na página da sua conta nas Ajustes do iOS. A Apple está aumentando essa funcionalidade no iOS 12 e no MacOS 10.14 Mojave, oferecendo gerar senhas fortes no seu nome além de armazená-las.

Para não ficar para trás, o Google ampliou o Smart Lock para lembrar suas senhas e credenciais de login em todos os dispositivos que você possui (desde que esses dispositivos estejam rodando software do Google). As senhas que o Google armazena no Chrome e no Chrome OS são automaticamente transferidas quando você registra um dispositivo Android com a mesma Conta do Google, permitindo fácil acesso aos seus aplicativos. Você também pode ver todas as suas senhas na web.

A experiência do usuário para esses serviços mais modernos é semelhante à que o WebAuthn trará, mas as senhas ainda sustentam o processo – essas ferramentas apenas facilitam o gerenciamento dessas senhas.

O que a Autenticação da Web quer fazer é apagar as senhas completamente, tornando o login em sites tão fácil quanto desbloquear o telefone com o toque de um dedo. O trabalho para implementação padrão continua, mas você terá que continuar lembrando as suas senhas por um tempo ainda.