- O Google está oferecendo passkeys como opção padrão em Google Accounts pessoais, facilitando a transição para logins sem senha
- A partir do próximo login, será exibido um prompt para criar e usar passkeys, e a opção “Skip password when possible” aparecerá ativada nas configurações da conta
- Passkeys permitem login com impressão digital, reconhecimento facial ou PIN usados para desbloquear o dispositivo; segundo o Google, são 40% mais rápidas que senhas e mais seguras por causa do método de criptografia
- O login por senha continuará disponível por enquanto, e usuários que não quiserem podem desativar “Skip password when possible” para recusar o uso de passkeys
- Passkeys já são usadas no YouTube, Search e Maps, e Uber e eBay também oferecem suporte; a compatibilidade com WhatsApp deve chegar em breve
Mudança no padrão de login de Google Accounts pessoais
- Depois de lançar suporte a passkeys no início deste ano, o Google considera que a resposta dos usuários foi positiva
- Agora, passkeys são oferecidas como a opção padrão de login em Google Accounts pessoais
- No próximo login da conta, será exibido um prompt para criar e usar uma passkey
- Nas configurações da Google Account, a opção “Skip password when possible” aparecerá ativada
Como passkeys funcionam e suas características de segurança
- Passkeys usam impressão digital, reconhecimento facial ou PIN, como no desbloqueio do dispositivo, para fazer login na conta
- Segundo o Google, o login com passkeys é 40% mais rápido que com senhas
- Elas são mais seguras por dependerem de criptografia e também têm resistência a phishing
- Usuários podem reduzir o esforço de lembrar números e caracteres especiais de senhas
Senhas e a escolha do usuário continuam existindo
- O Google entende que novas tecnologias levam tempo para se consolidar e que senhas podem continuar existindo por algum tempo
- Usuários ainda poderão fazer login com senha
- Quem não quiser usar passkeys pode desativar a opção “Skip password when possible”
Suporte a passkeys se espalha para além do Google
- Desde o lançamento das passkeys, usuários vêm usando esse recurso em apps do Google como YouTube, Search e Maps
- O Google vê de forma positiva a tendência de adoção crescente de passkeys em todo o setor
- Uber e eBay oferecem opções para entrar em suas plataformas sem usar senha
- A compatibilidade com WhatsApp também deve ser oferecida em breve
Próximo passo rumo ao login sem senha
- O Google continuará informando onde é possível usar passkeys em outras contas online
- A empresa pretende incentivar o setor a migrar para passkeys, reduzindo o uso de senhas e, no fim, tornando-as raras
- Informações relacionadas à segurança de Contas Google podem ser consultadas em myaccount.google.com/safer
1 comentários
Opiniões no Hacker News
Como várias pessoas disseram, se você perder o dispositivo, é muito difícil reiniciar a autenticação criptográfica
No mês passado, minha esposa quebrou o vidro do iPhone e mandou consertar pelo AppleCare, mas a Apple não avisou que “troca de vidro”, na prática, envolve troca de componentes internos e redefinição do aparelho
O backup do Apple iPhone não inclui segredos criptográficos como eSIM
No fim, para ativar o eSIM era preciso e-mail, o e-mail exigia o MS Authenticator, e o MS Authenticator caía em um loop em que não podia ser ativado sem SMS
Tivemos que ir até uma loja da operadora levando um monte de documentos com foto para reemitir o eSIM, e até a conta bancária foi bloqueada por algum bloqueio de hardware do celular, embora a senha estivesse correta
Levou dias para resolver e foi preciso visitar várias instituições pessoalmente. Se estivéssemos viajando no exterior, teria sido um bloqueio total
Os tempos mudaram, e agora toda a identidade digital virou um smart card dentro do celular. Seja esse smart card um SIM ou um chip TPM integrado, se você o perder, para os outros é praticamente como se você estivesse morto
Passkey agrava muito esse problema. Se ao menos houver um SIM físico, dá para movê-lo de um celular para outro, mas Passkey não pode ser transferida entre fornecedores
É preciso sair correndo aos gritos. Não acredite no hype; espere até que os fornecedores apresentem soluções decentes de transferência e recuperação
As pessoas odeiam senhas, mas, realisticamente, em muitas situações e modelos de ameaça, senhas são o melhor compromisso. Se você tirar 32 bytes ou mais de
/dev/randome codificar do jeito que quiser, ninguém neste universo vai quebrar por força bruta, e um gerenciador de senhas também resolve o problema de reutilizaçãoAlém disso, há a vantagem de eu poder controlar o modo de armazenamento e aplicar backups redundantes até me sentir tranquilo
O backup do iPhone inclui o backup dos itens armazenados no iCloud Keychain, e você consegue acessá-los de novo se tiver outro dispositivo Apple ou uma chave de recuperação. Com a senha do dispositivo ou a chave de recuperação, dá para fazer o bootstrap de tudo novamente
eSIM é um caso especial por ser coisa da operadora, e esse tipo de coisa sempre foi — e continuará sendo — meio problemático, preso a lojas e telefonemas
Eu uso quase 3. Uma Yubikey da estação de trabalho, uma Yubikey portátil e o celular. Esses 3 conseguem reiniciar tanto o Google do e-mail quanto a Apple do celular. O restante fica no 1Password e pode ser acessado por esses meios
Acho que, mesmo no pior dos piores casos de emergência, eu conseguiria recuperar o e-mail de algum jeito. Se eu confirmasse minha identidade com o provedor de DNS e alterasse os registros MX, conseguiria voltar a resolver as coisas. Ainda assim, não considero isso exatamente essencial para a vida cotidiana. Perder o acesso seria extremamente inconveniente, mas não parece uma sentença de morte
Meus contatos de SMS e Signal também existem em outros lugares, e o dinheiro na conta bancária pode ser usado preenchendo cheques. Contas relacionadas ao trabalho eu consigo acessar se aparecer pessoalmente no escritório
Só que acho bem provável que Passkey seja complicada demais para o usuário comum de computador. Infelizmente, o método “vamos enviar um link por e-mail toda vez que você fizer login” parece ser a autenticação sem senha mais amigável ao usuário
Também não fico totalmente tranquilo com o hábito de colocar Passkeys no 1Password. Porque sei que fico preso para sempre. Ainda assim, gosto do serviço e, se um dia quiser sair, ao menos tenho uma lista das contas que precisarei recriar
O que mais me assusta é a possibilidade de esquecer a senha do celular. Uma vez acordei e, num momento péssimo, me distraí e simplesmente não consegui lembrar a senha de 6 dígitos. Uso o mesmo código para desbloquear a estação de trabalho. Depois de desviar a atenção por um instante, consegui lembrá-lo por memória muscular
Foi um daqueles momentos de “será que acabei de ter um AVC?”. Agora deixo essa senha salva no 1Password, então, se eu tiver ao menos um dispositivo desbloqueado, consigo reavivar a memória. Isso foi há bastante tempo e não parece ser demência; foi só um fenômeno temporário estranho
Por outro lado, lembro perfeitamente todas as senhas do trabalho que tinham vida útil de até 1 ano. Mas isso não ajuda muito se eu não conseguir lembrar 6 dígitos
Então acho que em breve as senhas também entrarão no “Killed by Google”, junto com a minha conta. Eu não mantenho nenhum dispositivo logado
Já passou da hora de migrar os poucos usos que ainda restam. Quando chegar a situação inevitável, fico curioso se a empresa conseguirá redefinir a Passkey da minha conta de trabalho
Vejo isso como a direção certa, mas já vi histórias de terror demais de pessoas bloqueadas fora de contas do Google ou do iCloud, sem nenhuma forma real de recuperá-las
Acho que não sou o único a pensar assim, mas sinto que algum dia, provavelmente por erro meu, vou ficar bloqueado no Google e minha vida digital vai acabar
Eu pagaria de bom grado se uma empresa privada oferecesse um método de login como o login.gov e, caso eu ficasse bloqueado, permitisse falar com uma pessoa de verdade, como no USPS
https://mastodon.laurenweinstein.org/@lauren/111103819626952...
https://mastodon.laurenweinstein.org/@lauren/111211366080459...
Não é uma questão de se, mas de quando. Para quem se importa com seus dados, backups e um plano rigoroso de recuperação de desastre são essenciais. Alguma empresa vai estragar alguma coisa, mesmo sem culpa sua, e isso é inevitável
Infelizmente, para alguns aspectos de uma conta perdida, não há boas opções de recuperação de desastre, mas ter várias contas e evitar pontos únicos de falha ajuda até certo ponto
É preciso garantir várias formas independentes de fazer login. Por exemplo, imprimir códigos de backup e guardá-los junto com documentos importantes
Mas isso também não impede um bloqueio causado por mudanças nas políticas do Google, então o ideal seria também praticar como sobreviver sem uma Conta do Google
Lauren Weinstein vem alertando que Passkey tem falhas e que será uma enorme dor de cabeça, especialmente para usuários comuns
https://mastodon.laurenweinstein.org/@lauren/111103819626952...
https://mastodon.laurenweinstein.org/@lauren/111211366080459...
Deixando de lado por um momento as questões de privacidade e dependência de fornecedor, Passkey não é uma alternativa tão ruim para pessoas que reutilizam a mesma senha básica em todos os sites sem autenticação em duas etapas
Mas, quando você começa a depender dela para realmente proteger algo, ela rapidamente vira um pesadelo enorme. E piora porque isso é tratado como se fosse equivalente a senha + autenticação em duas etapas
Dizem que é “fácil de encontrar”, mas parece que eu não consigo encontrar
https://mastodon.laurenweinstein.org/@lauren/111211489395997...
Se o usuário provavelmente vai usar uma senha fraca no serviço de qualquer jeito, não entendo por que uma senha fraca do dispositivo seria motivo para evitar Passkey
Nesse caso, se a autenticação do dispositivo for comprometida, a conta também já estará comprometida de qualquer forma
Em especial, o Google atualmente não usa uma estrutura em que você precisa escolher apenas entre senha e Passkey. Se não houver uma Passkey no dispositivo, ainda é possível voltar ao fluxo de login por senha
Para comparar riscos e benefícios, precisamos saber o quanto as pessoas realmente reutilizam senhas, usam autenticação em duas etapas, dependem apenas do bloqueio de tela do celular para acessar todas as contas, usam biometria, quantas vezes precisam de recuperação de conta etc.
Só esses dados poderiam organizar a discussão e também permitir que cada um chegasse a uma conclusão diferente conforme sua própria situação
O Google tem a maior parte desses dados. Para sustentar sua posição, deveria divulgá-los
A 1Password ativou recentemente o suporte a Passkeys, e fiquei “surpreso” ao perceber que não há como exportá-las para fora da 1Password
Elas não são incluídas nem na exportação no formato 1PUX, nem em CSV
Ou seja, literalmente não é possível fazer backup. Se a 1Password ficar fora do ar, a empresa fechar as portas ou algo parecido acontecer, as Passkeys simplesmente desaparecem. Não há absolutamente nenhuma forma de recuperá-las
Veja este AMA recente da 1Password sobre Passkeys:
https://old.reddit.com/r/1Password/comments/16to6x7/hey_redd...
Sobre a possibilidade de a 1Password sair do ar: senhas e Passkeys também são armazenadas localmente quando sincronizadas com os dispositivos. Mesmo que você perca o acesso à 1Password por algum motivo, ainda continuará tendo acesso a todos os itens do cofre; só deixará de conseguir sincronizar entre dispositivos
Em vez de mover Passkeys entre dispositivos, a estrutura deve ser vista como algo parecido com chaves SSH: criar uma Passkey diferente para cada dispositivo e registrar todas no serviço correspondente
Claro que ainda é possível enganar um usuário para que ele adicione a Passkey de um invasor à própria conta
No celular esse problema foi resolvido anos atrás, mas e-mail ainda é uma bagunça. A lição é nunca ficar preso a uma dependência
Ele intercepta chamadas a
window.credentials, e se você quiser usar a 1Password junto com outro meio de verificação, como uma Yubikey, precisa entrar nas configurações e desativar todo o recurso de PasskeysTambém é parecido com a forma como intercepta os prompts do Google One Tap e os desativa globalmente para mostrar o próprio prompt de OAuth. Eu só uso a extensão do Chrome, então não sei se a experiência no app nativo é muito diferente
Do ponto de vista do usuário, ainda não entendo
Se minha casa pegar fogo ou algo assim e todos os dispositivos que estavam logados no Google forem destruídos, o que acontece? Como faço login na conta de novo?
Dei um celular antigo para ele e conseguimos transferir o SIM, mas foi impossível fazer login na conta do Google. O Google insistia o tempo todo para “usar o celular”. O notebook também estava deslogado do e-mail
Felizmente, por causa de um incidente anterior, eu tinha tokens de backup e consegui resolver. Não sei o que outras pessoas fariam
A chave é dividida em M partes, e N delas são necessárias para reconstruí-la. Por exemplo, em um esquema 3/8, basta ter 3 das 8 partes para recuperar a chave. Cada parte fica com pessoas de confiança e, na recuperação, você recebe as partes de pelo menos 3 delas para restaurar a chave
Quando implementei isso em uma demo para o YC chamada multipasskey, o usuário escolhia contatos de confiança, e os fragmentos da chave eram enviados a eles em segundo plano. Quando fosse necessário recuperar, o usuário fazia a solicitação a essas pessoas e, ao receber fragmentos suficientes, reconstruía a chave do dispositivo. Com a chave do dispositivo em mãos, baixava do servidor remoto o backup criptografado das chaves e tudo era restaurado como novo
Em 2017/2018, candidatei esse projeto ao YC com o nome multipasskey, como uma demo funcional, mas fui rejeitado. Acho que não consegui explicar direito
Como técnico, eu suponho que isso signifique deixar um dispositivo de backup com um amigo ou também salvar a Passkey na conta da Apple/Microsoft/gerenciador de senhas
Mas o Google deveria explicar com mais detalhes
E você jamais deve perder seu número de telefone. Mesmo com nome de usuário, senha e e-mail de recuperação, não consegui voltar à conta do Google porque não conseguia receber o código por SMS
Durante essa transição, o recomendado é oferecer Passkeys como alternativa aos meios já existentes. O Google e muitos provedores de serviço estão fazendo isso
Mas a pergunta levantada aqui é um problema de recuperação de conta que todos deveriam fazer mesmo sem Passkeys. É preciso ter um plano para fazer login caso você esqueça a senha, perca acesso ao gerenciador de senhas ou perca o segundo dispositivo de autenticação. A adoção de Passkeys não elimina completamente a necessidade de pensar em recuperação de conta
Ainda assim, há casos específicos em que Passkeys são melhores para recuperação de conta. Se você criar uma Passkey para a conta do Google em um dispositivo Apple usando o iCloud Keychain, essa Passkey será sincronizada com o iCloud. Então, mesmo que sua casa queime e você perca todos os dispositivos, se ainda conseguir acessar sua conta do iCloud, poderá recuperar as Passkeys da conta do Google e de outros sites
Claro que a pergunta “e se eu perder o acesso à conta Apple iCloud?” é legítima. Por isso o problema de recuperação de conta não desaparece totalmente, mas em muitos casos pode ser bastante reduzido com Passkeys
Há aqui um paradoxo de Simpson
Em média, isso pode aumentar a segurança. Porque a grande maioria dos usuários usa senhas de forma péssima
Mas, para usuários experientes que usam senhas de forma segura, se for imposto, a segurança cai drasticamente
A autenticação em duas etapas obrigatória por número de telefone tem o mesmo efeito. No caso da Big G, a autenticação em duas etapas obrigatória por número de telefone é uma política anti-anonimato disfarçada de segurança. Neste caso, parece uma tentativa de obter informações biométricas
O número de telefone é a melhor identidade de longo prazo que a maioria das pessoas tem, e o Google precisa dar suporte à recuperação de contas de bilhões de usuários em uma escala absurda
Muita gente perde senhas e dispositivos, mas pouquíssima gente perde o número de telefone
Portanto, faz sentido lógico o Google usar números de telefone para atribuir e delegar identidade em sua plataforma. É ruim para a privacidade, mas é muito bom para a segurança, porque permite controlar os dados por meio de uma “credencial” de autenticação de terceiros que o próprio usuário não precisa gerenciar
E não tenho certeza sobre esta parte, então seria bom se alguém que souber corrigisse. Mesmo supondo um usuário experiente imune a senhas fracas, reutilização e phishing, entendo que há uma vantagem de segurança. Mesmo que a Google Passkey vaze, o que vaza é apenas a chave pública, e como não é possível fazer login com a chave pública, o vazamento se torna praticamente inútil
Se o Google estivesse coletando biometria, já estaria fazendo isso, e isso não teria relação com este recurso
Esses detalhes muito básicos do modelo de segurança são verdadeiros há muito tempo, desde a época em que o iPhone começou a usar o Secure Enclave. Não sei por que as pessoas neste site falam com tanta convicção sobre coisas que claramente não entendem, e sinceramente fico surpreso
Passkey é moralmente equivalente a usar uma chave SSH em vez de uma senha SSH para fazer login em um servidor, só que aplicada a sites. Além disso, há um fato simples e objetivo que não pode ser substituído pela ideia de “usar senhas de forma segura”: Passkey é literalmente resistente a phishing
É surpreendente que já estejam empurrando isso. Até a semana passada ainda havia arestas suficientes na implementação, então desativei no meu tenant do Workspace
As duas coisas mais irritantes são: o Advanced Protection ainda não oferece suporte a Passkey, então por enquanto é preciso manter U2F; e, se houver uma chave U2F configurada na conta, o Google primeiro orienta a usá-la como Passkey e, depois, como ela não é uma Passkey, manda fazer login com senha
Como resultado, quem usa autenticação multifator resistente a phishing perde a função de “lembrar” a etapa de MFA no dispositivo. Isso porque o Google sempre exige o fator U2F antes da senha
Separadamente, enquanto me preparo para implantar login sem senha baseado em Okta para alguns clientes pequenos, tenho testado bastante os fluxos FIDO2 com chaves de segurança e Passkeys em vários tipos de dispositivos e plataformas. Gosto bastante do fluxo de autenticação em si de modo geral, mas há muitas armadilhas a observar
Gastei bastante tempo organizando o caminho feliz, criando materiais de onboarding e documentando cenários de continuidade de negócios. O caso de uso pessoal é, em alguns aspectos, mais difícil, porque é preciso pensar em cada serviço, não em um único IdP
Se você precisa dar suporte a vários ambientes, o caminho fácil agora é investir no 1Password ou em outro gerenciador de senhas com suporte a Passkeys. Ele oferece a experiência de usuário mais consistente e funciona na maioria das plataformas, mas ainda há problemas no Android 14
Para contas com altos privilégios, continuaremos usando chaves de hardware, então administradores recebem um par de chaves FIDO2. Os demais recebem uma Yubikey, que serve como backup quando perdem acesso ao dispositivo ou precisam fazer login em um dispositivo não confiável. O Android também é um problema aqui. Mesmo no 14, parece não oferecer suporte a fluxos FIDO2 sem senha
É uma direção interessante. Ainda assim, vale apontar que biometria, como impressão digital ou reconhecimento facial, na verdade não é um “segredo”
Ela pode ser observada ou usada sem conhecimento ou consentimento do usuário e, em muitos aspectos, funciona mais como um nome de usuário do que como uma senha
A impressão digital apenas desbloqueia o par de chaves criptográficas que será usado para autenticação
Eu uso uma Yubico Security Key como Passkey, protegida por um PIN de 6 dígitos. Esse PIN existe apenas localmente no dispositivo e serve para impedir que alguém com posse física do dispositivo consiga fazer login imediatamente. Se o PIN for digitado errado 10 vezes seguidas, a chave é apagada
Ao inserir o PIN, a chave é desbloqueada, e é essa chave que permite entrar na conta do Google
A maioria das contas com senha tem a salvaguarda de “se você provar sua identidade à empresa, eles redefinem para você”. Se você não lembra a senha do banco, há um caminho para o banco redefini-la
Para as coisas controladas pelo Google, não há absolutamente nenhuma forma de entrar em contato para resolver problemas. Isso já é um problema em todos os produtos do Google
Trancar todo o acesso atrás de portas controladas pelo Google é preparar por conta própria um pesadelo futuro
É uma pena que ainda não dê para salvar Passkeys no Bitwarden. Ainda assim, pela mensagem no topo desta página, parece que isso deve chegar em outubro
https://bitwarden.com/blog/bitwarden-passkey-management/