Não é de hoje que diversas companhias de grande porte — incluindo Google e Microsoft — estão engajadas em propagar a tendência passwordless; ou seja, elaborar métodos alternativos de autenticação que sejam mais práticos e seguros do que uma simples senha alfanumérica. Durante a sua conferência Worldwide Developers Conference 2021 (WWDC 21), porém, a Apple também mostrou que está um tanto engajada em tirar esse “mundo sem senhas” do papel e transformá-lo em realidade.
- WWDC 21 | Apple prova que big techs podem respeitar a sua privacidade na web
- WWDC 21 | Private Relay: Apple lança espécie de VPN para pagantes do iCloud
- WWDC 21 | Eis os quatro pilares da privacidade que a Apple quer que os devs respeitem
“Proteger segredos é difícil, especialmente quando eles são compartilhados. A maioria dos métodos de autenticação atuais envolvem um usuário e um servidor compartilhando um segredo”, explica Garrett Davidson, engenheiro de experiência de autenticação da Apple. “Usar senhas fracas ou reutilizá-las entre múltiplas contas torna esse problema ainda pior”, complementa, indicando que 80% dos vazamentos de dados são ocasionados por credenciais simples ou roubadas (de acordo com o Verizon Data Breach Report 2020).
Após uma comparação de níveis adicionais de proteção (como gerenciadores e verificação dupla), o executivo chega ao ponto: todos eles envolvem o compartilhamento de um segredo entre servidores. As chaves físicas WebAuthn/FIDO2 são uma alternativa mais segura, já que se baseiam no uso de chaves criptográficas assimétricas (sendo que sua chave privada nunca é transferida para o servidor); porém, elas são menos práticas, já que existe a necessidade de carregá-las por aí e podem ser perdidas.
Ainda assim, nos novos iOS 15 e macOS Monterey, absolutamente todos os apps terão suporte às chaves WebAuthn graças a família de APIs ASAuthorization. “Nós acreditamos que esta API será útil para aplicações, especialmente em contexto de alta segurança”, explica Garrett. Mas é claro que a companhia não poderia parar por aí; logo, ela também apresentou o recurso Passkeys, que integrará o já existente “Chaves do iCloud” (iCloud KeyChain).
Uma FIDO2 digital?
Trata-se de uma espécie de chave projetada no protocolo WebAuthn, mas digital, com backups no iCloud e mais fácil de usar (embora tenhamos ficado pensando sobre o fator “recuperação”, já que exige que você use sua senha do iCloud de qualquer forma). Totalmente integrada ao sistema operacional, a funcionalidade cria suas chaves automaticamente sempre que o internauta estiver realizando seu cadastro em algum aplicativo, usando métodos biométricos para desbloquear o “chaveiro” do iCloud.
Para complementar as novidades no iCloud Keychain, vale ressaltar que o recurso também poderá ser usado para armazenar e gerar códigos de verificação. Por enquanto, a tecnologia estará desabilitada por padrão nas compilações Beta do iOS 15 e do macOS Monterey, sendo focadas, nesse primeiro momento, para testes com a comunidade desenvolvedora.
Por fim, esse novo ecossistema de autenticação também tornará mais fácil o ato de adentrar em sua conta em um app do tvOS — o set-top box mandará uma notificação para seu gadget Apple solicitando acesso às Passkeys armazenadas.
“Enquanto toda a indústria continua trabalhando para construir um futuro sem senhas, ainda existem passos importantes a serem dados para otimizar a infraestrutura que você já possui”, explica Eryn Wells, que também trabalha no time de engenharia de autenticação. “Tudo o que você puder fazer para tornar os internautas mais seguros é importante”, conclui.