O novo "Passwordless by default" da Microsoft é excelente, mas tem um custo

baeba · 2025-05-07T10:16:40+09:00

A Microsoft introduziu uma abordagem que aplica login sem senha (passkey) por padrão a novas contas, mas, na prática, há a limitação de que a instalação do app Microsoft Authenticator é obrigatória. A passkey é um método de autenticação de próxima geração resistente a phishing e vazamentos, baseado no padrão WebAuthn (FIDO2), e funciona com um par de chaves pública/privada. A medida reforça a segurança, mas uma estrutura dependente de um app específico pode prejudicar parcialmente a experiência do usuário e os benefícios de segurança. 1. Política da Microsoft de “login padrão sem senha” A partir de 2025, a Microsoft adotará passkeys como método de login padrão para novas contas Microsoft. Usuários existentes também serão incentivados a registrar uma passkey ao fazer login. Objetivo: Reduzir ameaças de segurança e o esforço do usuário associados à criação e ao gerenciamento de senhas. Tentar resolver problemas de password spraying e vazamentos. 2. Visão geral técnica e forma de implementação O que é uma passkey? Autenticação por meio de um par de chaves pública/privada gerado com base em WebAuthn (FIDO2). A chave privada é armazenada no dispositivo do usuário (celular, PC, Yubikey etc.) e não vaza para fora dele. É inerentemente resistente a phishing, reutilização de senha e vazamentos. Como funciona: O site envia um “challenge” baseado em valor aleatório → o autenticador no dispositivo assina → o servidor valida com a chave pública. Como a chave fica vinculada à URL correspondente, não pode ser reutilizada em sites de phishing. 3. Restrições e limitações Problema: mesmo configurando uma passkey, sem o app Microsoft Authenticator não é possível remover completamente a senha. Authy, Google Authenticator e outros não são compatíveis. Na prática, isso exige que o usuário instale o app à força, o que entra em conflito com a ideia de ser “passwordless por padrão”. Implicações de segurança: Se a senha ainda permanece, parte dos benefícios de segurança da passkey se perde. O WebAuthn ainda está evoluindo, e ainda há pontos em que a usabilidade deixa a desejar.

(arstechnica.com)

1 pontos por baeba 2025-05-07 | Ainda não há comentários. | Compartilhar no WhatsApp

A Microsoft introduziu uma abordagem que aplica login sem senha (passkey) por padrão a novas contas, mas, na prática, há a limitação de que a instalação do app Microsoft Authenticator é obrigatória.
A passkey é um método de autenticação de próxima geração resistente a phishing e vazamentos, baseado no padrão WebAuthn (FIDO2), e funciona com um par de chaves pública/privada.
A medida reforça a segurança, mas uma estrutura dependente de um app específico pode prejudicar parcialmente a experiência do usuário e os benefícios de segurança.

1. Política da Microsoft de “login padrão sem senha”

A partir de 2025, a Microsoft adotará passkeys como método de login padrão para novas contas Microsoft.
Usuários existentes também serão incentivados a registrar uma passkey ao fazer login.
Objetivo:
- Reduzir ameaças de segurança e o esforço do usuário associados à criação e ao gerenciamento de senhas.
- Tentar resolver problemas de password spraying e vazamentos.

2. Visão geral técnica e forma de implementação

O que é uma passkey?
- Autenticação por meio de um par de chaves pública/privada gerado com base em WebAuthn (FIDO2).
- A chave privada é armazenada no dispositivo do usuário (celular, PC, Yubikey etc.) e não vaza para fora dele.
- É inerentemente resistente a phishing, reutilização de senha e vazamentos.
Como funciona:
- O site envia um “challenge” baseado em valor aleatório → o autenticador no dispositivo assina → o servidor valida com a chave pública.
- Como a chave fica vinculada à URL correspondente, não pode ser reutilizada em sites de phishing.

3. Restrições e limitações

Problema: mesmo configurando uma passkey, sem o app Microsoft Authenticator não é possível remover completamente a senha.
- Authy, Google Authenticator e outros não são compatíveis.
- Na prática, isso exige que o usuário instale o app à força, o que entra em conflito com a ideia de ser “passwordless por padrão”.
Implicações de segurança:
- Se a senha ainda permanece, parte dos benefícios de segurança da passkey se perde.
O WebAuthn ainda está evoluindo, e ainda há pontos em que a usabilidade deixa a desejar.

O novo "Passwordless by default" da Microsoft é excelente, mas tem um custo

1. Política da Microsoft de “login padrão sem senha”

2. Visão geral técnica e forma de implementação

3. Restrições e limitações

Leituras relacionadas

Ainda não há comentários.