A tecnologia de passkeys é elegante, mas definitivamente não é uma segurança utilizável

 (arstechnica.com)
6 pontos por GN⁺ 2024-12-31 | 2 comentários | Compartilhar no WhatsApp
  • Uma tecnologia ainda não pronta para o grande público: a tecnologia de passkeys é elegante, mas carece de segurança prática para uso
  • Tem chamado atenção como alternativa às senhas e é vista como uma forte defesa contra phishing e invasões a bancos de dados
  • As especificações FIDO2 e WebAuthn são elegantes, mas a experiência do usuário continua complexa
    • Embora centenas de sites e os principais sistemas operacionais e navegadores ofereçam suporte a passkeys, a forma de implementação em cada plataforma e os fluxos de trabalho inconsistentes reduzem a usabilidade
    • Por exemplo, mesmo no mesmo site, a experiência de login no iOS e no Android é diferente, e em alguns navegadores não há suporte algum
    • Cada plataforma força suas próprias opções de sincronização de passkeys, dificultando que o usuário escolha outras alternativas
    • As implementações de passkeys deveriam permitir uso fácil para os usuários, mas atualmente não é isso que acontece
  • Sincronizar passkeys por meio de um gerenciador de segurança como o 1Password pode resolver o problema, mas isso enfraquece a proposta central das passkeys, que é a autenticação sem senha.
    • Além disso, a maioria dos usuários ainda não usa gerenciadores de senha
  • Entre os sites que oferecem suporte a passkeys, não há nenhum que tenha eliminado completamente as senhas
    • A autenticação MFA baseada em SMS continua vulnerável e compromete a segurança das passkeys
  • Em ambientes corporativos, as passkeys podem se tornar uma alternativa a senhas e autenticadores

Propostas

  • Uso de gerenciador de segurança: fortalecer a segurança sincronizando passkeys por meio de ferramentas como 1Password e ativando MFA
  • Priorizar MFA: sempre que possível, ativar autenticação multifator com chave de segurança ou aplicativo autenticador
  • Avaliar a adoção de passkeys: as passkeys são promissoras no longo prazo, mas, por enquanto, senhas e gerenciadores de segurança ainda são essenciais

Conclusão

  • As passkeys têm grande potencial para resolver os problemas de segurança das senhas, mas, neste momento, ainda não são uma alternativa perfeita devido a limitações técnicas e problemas de usabilidade
  • É muito provável que melhorem no futuro, mas, por enquanto, a opção mais racional é continuar usando em paralelo os métodos tradicionais de autenticação.

Leituras relacionadas

2 comentários

 
ndrgrd 2025-01-03

Eu também estou usando passkeys guardadas no Bitwarden.
Pelo fato de terem deixado possível registrar os nomes um por um, parece que não é uma tecnologia feita para você criar só uma passkey e usá-la sincronizando entre dispositivos. Dá a impressão de que a ideia é criar uma para cada dispositivo, mas sinceramente isso é bem incômodo.
 
GN⁺ 2024-12-31
Opiniões do Hacker News

  • Em algum universo paralelo, existe uma lei que exige que todos os fabricantes de dispositivos de computação forneçam um compartimento onde o usuário possa conectar suas credenciais de segurança. A abordagem atual de passkeys foi projetada com base em um modelo imaginário no qual o usuário está totalmente imerso em um único ecossistema.

  • As passkeys seriam uma forma de autenticação com chaves de hardware do jeito que a Yubico queria, mas Apple, Google e Microsoft preferem autenticar de forma mágica por meio do sistema operacional.

  • Os fornecedores de sistema operacional não querem que os usuários usem software ou hardware de terceiros fora do OS e os induzem a usar passkeys baseadas em nuvem.

  • O estado futuro ideal seria poder escolher, nas configurações do navegador, o provedor das credenciais recém-registradas.

  • O TOTP também sofre de um problema semelhante, e muitos armazenamentos de passkeys não permitem exportação. O Bitwarden é uma exceção e permite exportar passkeys.

  • A transição de senhas para passkeys é uma grande mudança no modelo moderno de segurança da internet, e é natural que as pessoas sejam cautelosas e tenham opiniões divergentes.

  • Como um dos poucos usuários que gostam de passkeys, crio passkeys no iCloud Keychain e no 1Password. Acho que precisamos de recursos melhores de exportação/importação.

  • As passkeys são uma caixa-preta invisível, e o usuário comum não consegue fazer backup delas. A implementação está incompleta e a superfície de ataque é maior.

  • O Fido carece de suporte de sites/frameworks/bibliotecas, e considero passkeys um produto fracassado. Não dá para confiar em passkeys por causa dos problemas de usabilidade.

  • Como usuário técnico, parei de usar o Google por causa da curta duração das sessões autenticadas com passkey. É incômodo ter de me reautenticar com frequência.