2 pontos por GN⁺ 2023-10-12 | 1 comentários | Compartilhar no WhatsApp
  • O Google está oferecendo passkeys como opção padrão em Google Accounts pessoais, facilitando a transição para logins sem senha
  • A partir do próximo login, será exibido um prompt para criar e usar passkeys, e a opção “Skip password when possible” aparecerá ativada nas configurações da conta
  • Passkeys permitem login com impressão digital, reconhecimento facial ou PIN usados para desbloquear o dispositivo; segundo o Google, são 40% mais rápidas que senhas e mais seguras por causa do método de criptografia
  • O login por senha continuará disponível por enquanto, e usuários que não quiserem podem desativar “Skip password when possible” para recusar o uso de passkeys
  • Passkeys já são usadas no YouTube, Search e Maps, e Uber e eBay também oferecem suporte; a compatibilidade com WhatsApp deve chegar em breve

Mudança no padrão de login de Google Accounts pessoais

  • Depois de lançar suporte a passkeys no início deste ano, o Google considera que a resposta dos usuários foi positiva
  • Agora, passkeys são oferecidas como a opção padrão de login em Google Accounts pessoais
  • No próximo login da conta, será exibido um prompt para criar e usar uma passkey
  • Nas configurações da Google Account, a opção “Skip password when possible” aparecerá ativada

Como passkeys funcionam e suas características de segurança

  • Passkeys usam impressão digital, reconhecimento facial ou PIN, como no desbloqueio do dispositivo, para fazer login na conta
  • Segundo o Google, o login com passkeys é 40% mais rápido que com senhas
  • Elas são mais seguras por dependerem de criptografia e também têm resistência a phishing
  • Usuários podem reduzir o esforço de lembrar números e caracteres especiais de senhas

Senhas e a escolha do usuário continuam existindo

  • O Google entende que novas tecnologias levam tempo para se consolidar e que senhas podem continuar existindo por algum tempo
  • Usuários ainda poderão fazer login com senha
  • Quem não quiser usar passkeys pode desativar a opção “Skip password when possible”

Suporte a passkeys se espalha para além do Google

  • Desde o lançamento das passkeys, usuários vêm usando esse recurso em apps do Google como YouTube, Search e Maps
  • O Google vê de forma positiva a tendência de adoção crescente de passkeys em todo o setor
  • Uber e eBay oferecem opções para entrar em suas plataformas sem usar senha
  • A compatibilidade com WhatsApp também deve ser oferecida em breve

Próximo passo rumo ao login sem senha

  • O Google continuará informando onde é possível usar passkeys em outras contas online
  • A empresa pretende incentivar o setor a migrar para passkeys, reduzindo o uso de senhas e, no fim, tornando-as raras
  • Informações relacionadas à segurança de Contas Google podem ser consultadas em myaccount.google.com/safer

1 comentários

 
GN⁺ 2023-10-12
Opiniões no Hacker News
  • Como várias pessoas disseram, se você perder o dispositivo, é muito difícil reiniciar a autenticação criptográfica
    No mês passado, minha esposa quebrou o vidro do iPhone e mandou consertar pelo AppleCare, mas a Apple não avisou que “troca de vidro”, na prática, envolve troca de componentes internos e redefinição do aparelho
    O backup do Apple iPhone não inclui segredos criptográficos como eSIM
    No fim, para ativar o eSIM era preciso e-mail, o e-mail exigia o MS Authenticator, e o MS Authenticator caía em um loop em que não podia ser ativado sem SMS
    Tivemos que ir até uma loja da operadora levando um monte de documentos com foto para reemitir o eSIM, e até a conta bancária foi bloqueada por algum bloqueio de hardware do celular, embora a senha estivesse correta
    Levou dias para resolver e foi preciso visitar várias instituições pessoalmente. Se estivéssemos viajando no exterior, teria sido um bloqueio total
    Os tempos mudaram, e agora toda a identidade digital virou um smart card dentro do celular. Seja esse smart card um SIM ou um chip TPM integrado, se você o perder, para os outros é praticamente como se você estivesse morto
    Passkey agrava muito esse problema. Se ao menos houver um SIM físico, dá para movê-lo de um celular para outro, mas Passkey não pode ser transferida entre fornecedores
    É preciso sair correndo aos gritos. Não acredite no hype; espere até que os fornecedores apresentem soluções decentes de transferência e recuperação

    • Concordo muito com “sair correndo aos gritos”. Vincular a autenticação a um hardware que eu não controlo pode levar, com quase certeza, a uma negação de serviço no futuro
      As pessoas odeiam senhas, mas, realisticamente, em muitas situações e modelos de ameaça, senhas são o melhor compromisso. Se você tirar 32 bytes ou mais de /dev/random e codificar do jeito que quiser, ninguém neste universo vai quebrar por força bruta, e um gerenciador de senhas também resolve o problema de reutilização
      Além disso, há a vantagem de eu poder controlar o modo de armazenamento e aplicar backups redundantes até me sentir tranquilo
    • Acredito em todos os problemas mencionados, mas normalmente é possível adicionar várias Passkeys a cada serviço. Dá para cadastrar tanto um iPhone quanto um Android barato para ter redundância, ou armazenar Passkeys no 1Password
      O backup do iPhone inclui o backup dos itens armazenados no iCloud Keychain, e você consegue acessá-los de novo se tiver outro dispositivo Apple ou uma chave de recuperação. Com a senha do dispositivo ou a chave de recuperação, dá para fazer o bootstrap de tudo novamente
      eSIM é um caso especial por ser coisa da operadora, e esse tipo de coisa sempre foi — e continuará sendo — meio problemático, preso a lojas e telefonemas
    • Além disso, muitos sites hoje se orgulham de não ter humanos no suporte ao cliente e não ajudam na recuperação quando a conta é bloqueada. Google e Meta são assim
    • Como em qualquer coisa, é preciso ter backup. Você precisa ter mais de uma Passkey
      Eu uso quase 3. Uma Yubikey da estação de trabalho, uma Yubikey portátil e o celular. Esses 3 conseguem reiniciar tanto o Google do e-mail quanto a Apple do celular. O restante fica no 1Password e pode ser acessado por esses meios
      Acho que, mesmo no pior dos piores casos de emergência, eu conseguiria recuperar o e-mail de algum jeito. Se eu confirmasse minha identidade com o provedor de DNS e alterasse os registros MX, conseguiria voltar a resolver as coisas. Ainda assim, não considero isso exatamente essencial para a vida cotidiana. Perder o acesso seria extremamente inconveniente, mas não parece uma sentença de morte
      Meus contatos de SMS e Signal também existem em outros lugares, e o dinheiro na conta bancária pode ser usado preenchendo cheques. Contas relacionadas ao trabalho eu consigo acessar se aparecer pessoalmente no escritório
      Só que acho bem provável que Passkey seja complicada demais para o usuário comum de computador. Infelizmente, o método “vamos enviar um link por e-mail toda vez que você fizer login” parece ser a autenticação sem senha mais amigável ao usuário
      Também não fico totalmente tranquilo com o hábito de colocar Passkeys no 1Password. Porque sei que fico preso para sempre. Ainda assim, gosto do serviço e, se um dia quiser sair, ao menos tenho uma lista das contas que precisarei recriar
      O que mais me assusta é a possibilidade de esquecer a senha do celular. Uma vez acordei e, num momento péssimo, me distraí e simplesmente não consegui lembrar a senha de 6 dígitos. Uso o mesmo código para desbloquear a estação de trabalho. Depois de desviar a atenção por um instante, consegui lembrá-lo por memória muscular
      Foi um daqueles momentos de “será que acabei de ter um AVC?”. Agora deixo essa senha salva no 1Password, então, se eu tiver ao menos um dispositivo desbloqueado, consigo reavivar a memória. Isso foi há bastante tempo e não parece ser demência; foi só um fenômeno temporário estranho
      Por outro lado, lembro perfeitamente todas as senhas do trabalho que tinham vida útil de até 1 ano. Mas isso não ajuda muito se eu não conseguir lembrar 6 dígitos
    • Para resumir, para que você não precise ler o texto antes de sair correndo aos gritos: ele diz que ainda é possível fazer login com senha e que dá para recusar Passkey desativando “pular senha quando possível”
      Então acho que em breve as senhas também entrarão no “Killed by Google”, junto com a minha conta. Eu não mantenho nenhum dispositivo logado
      Já passou da hora de migrar os poucos usos que ainda restam. Quando chegar a situação inevitável, fico curioso se a empresa conseguirá redefinir a Passkey da minha conta de trabalho
  • Vejo isso como a direção certa, mas já vi histórias de terror demais de pessoas bloqueadas fora de contas do Google ou do iCloud, sem nenhuma forma real de recuperá-las
    Acho que não sou o único a pensar assim, mas sinto que algum dia, provavelmente por erro meu, vou ficar bloqueado no Google e minha vida digital vai acabar
    Eu pagaria de bom grado se uma empresa privada oferecesse um método de login como o login.gov e, caso eu ficasse bloqueado, permitisse falar com uma pessoa de verdade, como no USPS

    • Isso é um problema especialmente para usuários comuns e idosos, e o Google tem um histórico de suporte quase inexistente. Além disso, a própria Passkey também é um sistema com falhas
      https://mastodon.laurenweinstein.org/@lauren/111103819626952...
      https://mastodon.laurenweinstein.org/@lauren/111211366080459...
    • Recuperação de desastre é minha maior preocupação com autenticação em duas etapas ou multifator. Acho que esse também é um dos motivos pelos quais coisas como PGP nunca se popularizaram. Você sempre precisa administrar algo pequeno e precioso, e o problema é o impacto quando isso fica indisponível ou cai nas mãos de alguém mal-intencionado
    • “Você pode ficar bloqueado fora da sua conta” é a versão moderna do velho “um dia o disco rígido vai falhar”
      Não é uma questão de se, mas de quando. Para quem se importa com seus dados, backups e um plano rigoroso de recuperação de desastre são essenciais. Alguma empresa vai estragar alguma coisa, mesmo sem culpa sua, e isso é inevitável
      Infelizmente, para alguns aspectos de uma conta perdida, não há boas opções de recuperação de desastre, mas ter várias contas e evitar pontos únicos de falha ajuda até certo ponto
    • Imaginar cenários pessimistas é útil quando leva à ação. Neste caso, a ação adequada é conhecer e usar as opções de recuperação da Conta do Google
      É preciso garantir várias formas independentes de fazer login. Por exemplo, imprimir códigos de backup e guardá-los junto com documentos importantes
      Mas isso também não impede um bloqueio causado por mudanças nas políticas do Google, então o ideal seria também praticar como sobreviver sem uma Conta do Google
    • Concordo 100%. Estou animado com um futuro sem senhas, mas um único bloqueio sem explicação torna isso parecido com perder a carteira física
  • Lauren Weinstein vem alertando que Passkey tem falhas e que será uma enorme dor de cabeça, especialmente para usuários comuns
    https://mastodon.laurenweinstein.org/@lauren/111103819626952...
    https://mastodon.laurenweinstein.org/@lauren/111211366080459...

    • Sim. Eu também tenho reclamações parecidas há alguns anos
      Deixando de lado por um momento as questões de privacidade e dependência de fornecedor, Passkey não é uma alternativa tão ruim para pessoas que reutilizam a mesma senha básica em todos os sites sem autenticação em duas etapas
      Mas, quando você começa a depender dela para realmente proteger algo, ela rapidamente vira um pesadelo enorme. E piora porque isso é tratado como se fosse equivalente a senha + autenticação em duas etapas
    • Onde explicam quais são as falhas?
      Dizem que é “fácil de encontrar”, mas parece que eu não consigo encontrar
      https://mastodon.laurenweinstein.org/@lauren/111211489395997...
      Se o usuário provavelmente vai usar uma senha fraca no serviço de qualquer jeito, não entendo por que uma senha fraca do dispositivo seria motivo para evitar Passkey
    • Não está claro qual é a dor de cabeça. Se o argumento é sobre as consequências que Passkey trará para a maioria dos usuários comuns, a maioria já está logada na Conta do Google em dispositivos móveis
      Nesse caso, se a autenticação do dispositivo for comprometida, a conta também já estará comprometida de qualquer forma
      Em especial, o Google atualmente não usa uma estrutura em que você precisa escolher apenas entre senha e Passkey. Se não houver uma Passkey no dispositivo, ainda é possível voltar ao fluxo de login por senha
    • Esse debate é frustrante pela falta de dados. Está cheio apenas de opiniões sobre qual risco é pior que outro
      Para comparar riscos e benefícios, precisamos saber o quanto as pessoas realmente reutilizam senhas, usam autenticação em duas etapas, dependem apenas do bloqueio de tela do celular para acessar todas as contas, usam biometria, quantas vezes precisam de recuperação de conta etc.
      Só esses dados poderiam organizar a discussão e também permitir que cada um chegasse a uma conclusão diferente conforme sua própria situação
      O Google tem a maior parte desses dados. Para sustentar sua posição, deveria divulgá-los
    • “Autenticação fraca do dispositivo”? Achei que hoje em dia todos os celulares tivessem leitor de impressão digital ou reconhecimento facial
  • A 1Password ativou recentemente o suporte a Passkeys, e fiquei “surpreso” ao perceber que não há como exportá-las para fora da 1Password
    Elas não são incluídas nem na exportação no formato 1PUX, nem em CSV
    Ou seja, literalmente não é possível fazer backup. Se a 1Password ficar fora do ar, a empresa fechar as portas ou algo parecido acontecer, as Passkeys simplesmente desaparecem. Não há absolutamente nenhuma forma de recuperá-las

    • Atualmente, nenhum dos grandes players na área de Passkeys oferece suporte a exportação ou importação de Passkeys. Isso porque ainda não há consenso sobre uma especificação para fazer isso com segurança, e ninguém quer permitir a exportação em texto puro de Passkeys
      Veja este AMA recente da 1Password sobre Passkeys:
      https://old.reddit.com/r/1Password/comments/16to6x7/hey_redd...
      Sobre a possibilidade de a 1Password sair do ar: senhas e Passkeys também são armazenadas localmente quando sincronizadas com os dispositivos. Mesmo que você perca o acesso à 1Password por algum motivo, ainda continuará tendo acesso a todos os itens do cofre; só deixará de conseguir sincronizar entre dispositivos
    • Não é esse o objetivo das Passkeys? Impedir que o usuário possa manipulá-las diretamente, para que elas não sejam roubadas por ataques de engenharia social
      Em vez de mover Passkeys entre dispositivos, a estrutura deve ser vista como algo parecido com chaves SSH: criar uma Passkey diferente para cada dispositivo e registrar todas no serviço correspondente
      Claro que ainda é possível enganar um usuário para que ele adicione a Passkey de um invasor à própria conta
    • Já conversei com minha mãe recomendando que ela mudasse, mas ela tem medo de trocar de provedor de internet porque o e-mail dela está vinculado ao provedor
      No celular esse problema foi resolvido anos atrás, mas e-mail ainda é uma bagunça. A lição é nunca ficar preso a uma dependência
    • Existe algum gerenciador de senhas de terceiros, auto-hospedado, que ofereça uma implementação compatível de Passkeys com exportação e backup seguro de verdade?
    • O suporte a Passkeys da 1Password parece uma estratégia de growth hacking bem agressiva
      Ele intercepta chamadas a window.credentials, e se você quiser usar a 1Password junto com outro meio de verificação, como uma Yubikey, precisa entrar nas configurações e desativar todo o recurso de Passkeys
      Também é parecido com a forma como intercepta os prompts do Google One Tap e os desativa globalmente para mostrar o próprio prompt de OAuth. Eu só uso a extensão do Chrome, então não sei se a experiência no app nativo é muito diferente
  • Do ponto de vista do usuário, ainda não entendo
    Se minha casa pegar fogo ou algo assim e todos os dispositivos que estavam logados no Google forem destruídos, o que acontece? Como faço login na conta de novo?

    • Isso aconteceu justamente com um parente da minha esposa. Ele deixou o celular cair na escada, a tela quebrou e deixou de responder
      Dei um celular antigo para ele e conseguimos transferir o SIM, mas foi impossível fazer login na conta do Google. O Google insistia o tempo todo para “usar o celular”. O notebook também estava deslogado do e-mail
      Felizmente, por causa de um incidente anterior, eu tinha tokens de backup e consegui resolver. Não sei o que outras pessoas fariam
    • Não sei como o Google resolveu isso, mas existe uma solução antiga: compartilhamento de segredo de Shamir
      A chave é dividida em M partes, e N delas são necessárias para reconstruí-la. Por exemplo, em um esquema 3/8, basta ter 3 das 8 partes para recuperar a chave. Cada parte fica com pessoas de confiança e, na recuperação, você recebe as partes de pelo menos 3 delas para restaurar a chave
      Quando implementei isso em uma demo para o YC chamada multipasskey, o usuário escolhia contatos de confiança, e os fragmentos da chave eram enviados a eles em segundo plano. Quando fosse necessário recuperar, o usuário fazia a solicitação a essas pessoas e, ao receber fragmentos suficientes, reconstruía a chave do dispositivo. Com a chave do dispositivo em mãos, baixava do servidor remoto o backup criptografado das chaves e tudo era restaurado como novo
      Em 2017/2018, candidatei esse projeto ao YC com o nome multipasskey, como uma demo funcional, mas fui rejeitado. Acho que não consegui explicar direito
    • Além disso, é bem fraco este artigo não apontar para um FAQ que responda a perguntas básicas de pessoas não técnicas
      Como técnico, eu suponho que isso signifique deixar um dispositivo de backup com um amigo ou também salvar a Passkey na conta da Apple/Microsoft/gerenciador de senhas
      Mas o Google deveria explicar com mais detalhes
    • Já passei por um incêndio de verdade. O proprietário conseguiu pegar meu celular para mim; graças a isso, foi a única coisa que restou, e perdi todos os meus pertences. Se não fosse isso, eu teria ficado completamente bloqueado, porque todos os apps de TOTP estavam nele
      E você jamais deve perder seu número de telefone. Mesmo com nome de usuário, senha e e-mail de recuperação, não consegui voltar à conta do Google porque não conseguia receber o código por SMS
    • Passkey é uma tecnologia nova, e usuários, provedores de serviços e organizações vão levar tempo para aprender e se adaptar
      Durante essa transição, o recomendado é oferecer Passkeys como alternativa aos meios já existentes. O Google e muitos provedores de serviço estão fazendo isso
      Mas a pergunta levantada aqui é um problema de recuperação de conta que todos deveriam fazer mesmo sem Passkeys. É preciso ter um plano para fazer login caso você esqueça a senha, perca acesso ao gerenciador de senhas ou perca o segundo dispositivo de autenticação. A adoção de Passkeys não elimina completamente a necessidade de pensar em recuperação de conta
      Ainda assim, há casos específicos em que Passkeys são melhores para recuperação de conta. Se você criar uma Passkey para a conta do Google em um dispositivo Apple usando o iCloud Keychain, essa Passkey será sincronizada com o iCloud. Então, mesmo que sua casa queime e você perca todos os dispositivos, se ainda conseguir acessar sua conta do iCloud, poderá recuperar as Passkeys da conta do Google e de outros sites
      Claro que a pergunta “e se eu perder o acesso à conta Apple iCloud?” é legítima. Por isso o problema de recuperação de conta não desaparece totalmente, mas em muitos casos pode ser bastante reduzido com Passkeys
  • Há aqui um paradoxo de Simpson
    Em média, isso pode aumentar a segurança. Porque a grande maioria dos usuários usa senhas de forma péssima
    Mas, para usuários experientes que usam senhas de forma segura, se for imposto, a segurança cai drasticamente
    A autenticação em duas etapas obrigatória por número de telefone tem o mesmo efeito. No caso da Big G, a autenticação em duas etapas obrigatória por número de telefone é uma política anti-anonimato disfarçada de segurança. Neste caso, parece uma tentativa de obter informações biométricas

    • A frase “autenticação em duas etapas obrigatória por número de telefone é uma política anti-anonimato disfarçada de segurança” pode ser as duas coisas. Na verdade, é muito provável que seja
      O número de telefone é a melhor identidade de longo prazo que a maioria das pessoas tem, e o Google precisa dar suporte à recuperação de contas de bilhões de usuários em uma escala absurda
      Muita gente perde senhas e dispositivos, mas pouquíssima gente perde o número de telefone
      Portanto, faz sentido lógico o Google usar números de telefone para atribuir e delegar identidade em sua plataforma. É ruim para a privacidade, mas é muito bom para a segurança, porque permite controlar os dados por meio de uma “credencial” de autenticação de terceiros que o próprio usuário não precisa gerenciar
    • Por que a segurança cairia drasticamente quando um usuário experiente usa senhas de forma segura? Porque o dispositivo pode ser roubado e o PIN pode ser adivinhado? Se quiser, não dá para usar uma senha longa em vez de um PIN?
      E não tenho certeza sobre esta parte, então seria bom se alguém que souber corrigisse. Mesmo supondo um usuário experiente imune a senhas fracas, reutilização e phishing, entendo que há uma vantagem de segurança. Mesmo que a Google Passkey vaze, o que vaza é apenas a chave pública, e como não é possível fazer login com a chave pública, o vazamento se torna praticamente inútil
    • A biometria é usada para desbloquear o armazenamento de chaves dentro do dispositivo local, que contém a chave privada. A partir dela é possível derivar a chave pública, e a essência da Passkey é um par de chaves pública/privada usado para verificar logins em sites
      Se o Google estivesse coletando biometria, já estaria fazendo isso, e isso não teria relação com este recurso
      Esses detalhes muito básicos do modelo de segurança são verdadeiros há muito tempo, desde a época em que o iPhone começou a usar o Secure Enclave. Não sei por que as pessoas neste site falam com tanta convicção sobre coisas que claramente não entendem, e sinceramente fico surpreso
      Passkey é moralmente equivalente a usar uma chave SSH em vez de uma senha SSH para fazer login em um servidor, só que aplicada a sites. Além disso, há um fato simples e objetivo que não pode ser substituído pela ideia de “usar senhas de forma segura”: Passkey é literalmente resistente a phishing
    • Passkey não depende do Google nem da Apple. Como empresas e governos precisam, você pode ter seu próprio custodiante ou gerenciador
  • É surpreendente que já estejam empurrando isso. Até a semana passada ainda havia arestas suficientes na implementação, então desativei no meu tenant do Workspace
    As duas coisas mais irritantes são: o Advanced Protection ainda não oferece suporte a Passkey, então por enquanto é preciso manter U2F; e, se houver uma chave U2F configurada na conta, o Google primeiro orienta a usá-la como Passkey e, depois, como ela não é uma Passkey, manda fazer login com senha
    Como resultado, quem usa autenticação multifator resistente a phishing perde a função de “lembrar” a etapa de MFA no dispositivo. Isso porque o Google sempre exige o fator U2F antes da senha
    Separadamente, enquanto me preparo para implantar login sem senha baseado em Okta para alguns clientes pequenos, tenho testado bastante os fluxos FIDO2 com chaves de segurança e Passkeys em vários tipos de dispositivos e plataformas. Gosto bastante do fluxo de autenticação em si de modo geral, mas há muitas armadilhas a observar
    Gastei bastante tempo organizando o caminho feliz, criando materiais de onboarding e documentando cenários de continuidade de negócios. O caso de uso pessoal é, em alguns aspectos, mais difícil, porque é preciso pensar em cada serviço, não em um único IdP
    Se você precisa dar suporte a vários ambientes, o caminho fácil agora é investir no 1Password ou em outro gerenciador de senhas com suporte a Passkeys. Ele oferece a experiência de usuário mais consistente e funciona na maioria das plataformas, mas ainda há problemas no Android 14
    Para contas com altos privilégios, continuaremos usando chaves de hardware, então administradores recebem um par de chaves FIDO2. Os demais recebem uma Yubikey, que serve como backup quando perdem acesso ao dispositivo ou precisam fazer login em um dispositivo não confiável. O Android também é um problema aqui. Mesmo no 14, parece não oferecer suporte a fluxos FIDO2 sem senha

    • Por que o Android daria suporte? Passkey oferece ao Google mais uma oportunidade de prender os clientes em um lock-in
  • É uma direção interessante. Ainda assim, vale apontar que biometria, como impressão digital ou reconhecimento facial, na verdade não é um “segredo”
    Ela pode ser observada ou usada sem conhecimento ou consentimento do usuário e, em muitos aspectos, funciona mais como um nome de usuário do que como uma senha

    • Senhas também são compartilhadas por definição, então não são totalmente secretas. Passkey usa criptografia de chave pública e é mais segura em todos os aspectos
    • Não seria preciso ter acesso físico ao dispositivo e também à impressão digital ou ao rosto?
    • Passkey não é, por si só, autenticação biométrica. Por exemplo, usar TouchID não significa que o Google autentica o usuário pela impressão digital
      A impressão digital apenas desbloqueia o par de chaves criptográficas que será usado para autenticação
      Eu uso uma Yubico Security Key como Passkey, protegida por um PIN de 6 dígitos. Esse PIN existe apenas localmente no dispositivo e serve para impedir que alguém com posse física do dispositivo consiga fazer login imediatamente. Se o PIN for digitado errado 10 vezes seguidas, a chave é apagada
      Ao inserir o PIN, a chave é desbloqueada, e é essa chave que permite entrar na conta do Google
  • A maioria das contas com senha tem a salvaguarda de “se você provar sua identidade à empresa, eles redefinem para você”. Se você não lembra a senha do banco, há um caminho para o banco redefini-la
    Para as coisas controladas pelo Google, não há absolutamente nenhuma forma de entrar em contato para resolver problemas. Isso já é um problema em todos os produtos do Google
    Trancar todo o acesso atrás de portas controladas pelo Google é preparar por conta própria um pesadelo futuro

  • É uma pena que ainda não dê para salvar Passkeys no Bitwarden. Ainda assim, pela mensagem no topo desta página, parece que isso deve chegar em outubro
    https://bitwarden.com/blog/bitwarden-passkey-management/