O Google anunciou na quinta-feira que as chaves de acesso estão sendo usadas por mais de 400 milhões de contas do Google, autenticando usuários mais de 1 bilhão de vezes nos últimos dois anos.
“As chaves de acesso são fáceis de usar e resistentes a phishing, dependendo apenas de uma impressão digital, digitalização facial ou PIN, o que as torna 50% mais rápidas do que as senhas”, disse Heather Adkins, vice-presidente de engenharia de segurança do Google.
O gigante das buscas observa que as chaves de acesso já são usadas para autenticação em Contas do Google com mais frequência do que formas legadas de autenticação de dois fatores, como senhas de uso único (OTPs) por SMS e OTPs baseadas em aplicativos combinadas.
Além disso, a empresa disse que está expandindo a proteção entre contas, que alerta sobre eventos suspeitos com aplicativos e serviços de terceiros conectados à Conta do Google de um usuário, para incluir mais aplicativos e serviços.
Espera-se também que o Google apoie o uso de chaves de acesso para usuários de alto risco como parte de seu Programa de Proteção Avançada (APP), que visa proteger as pessoas de ataques direcionados por causa de quem são e do que fazem. Isto inclui trabalhadores e candidatos de campanha, jornalistas e activistas de direitos humanos, entre outros.
Embora o APP anteriormente exigisse o uso de chaves de segurança de {hardware} como um segundo fator, agora ele permitirá o registro com qualquer chave de acesso junto com as chaves de segurança de {hardware} ou usá-las como único meio de autenticação.
O Google adicionou chaves de acesso ao Chrome em dezembro de 2022 e, desde então, lançou a solução de autenticação sem senha nas Contas do Google em todas as plataformas por padrão.
1Password, Amazon, Apple, Dashlane, Docusign, eBay, Kayak, Microsoft, PayPal, Shopify, Uber e WhatsApp são algumas das outras empresas proeminentes que adotaram chaves de acesso.
O desenvolvimento ocorre no mesmo dia em que a Microsoft, que integrou chaves de acesso no Home windows 11 em setembro de 2023, anunciou seus planos para oferecer suporte ao padrão de autenticação para contas de consumidores usando biometria ou PIN de dispositivo nas plataformas Home windows, Google e Apple.
As chaves de acesso funcionam criando um par de chaves criptográficas, uma chave privada armazenada no dispositivo e uma chave pública que é compartilhada com o aplicativo ou web site para o qual a chave de acesso será usada.
“Como essa combinação de par de chaves é única, sua chave de acesso só funcionará no web site ou aplicativo para o qual você a criou, então você não pode ser enganado e fazer login em um web site malicioso semelhante”, disse Vasu Jakkal, da Microsoft.
As chaves de acesso também podem ser armazenadas em soluções de gerenciamento de senhas de terceiros, como 1Password e Dashlane, dando aos usuários mais controle sobre onde elas podem ser armazenadas além do Google Password Supervisor, iCloud Keychain e Home windows.
“As chaves de acesso podem atuar como primeiro e segundo fatores, simultaneamente”, disseram os gerentes de produto do Google, Sriram Karra e Christiaan Model. “Ao criar uma chave de acesso em sua chave de segurança, você pode pular a digitação de sua senha. Isso substitui sua senha armazenada remotamente pelo PIN que você usou para desbloquear sua chave de segurança, o que melhora a segurança do usuário.”
No entanto, também estão sendo levantadas preocupações de que as chaves de acesso estão sendo usadas pelas empresas como uma forma de “capturar usuários e públicos em uma plataforma” e que “os interesses corporativos prevaleceram mais uma vez sobre a boa experiência do usuário”.
“Qual a melhor maneira de encorajar a armadilha de longo prazo dos usuários do que bloquear todas as suas credenciais em sua plataforma, e melhor ainda, credenciais que não podem ser extraídas ou exportadas de qualquer forma”, William Brown, engenheiro de software program envolvido no desenvolvimento de webauthn-rs, disse.
