Read, hack, repeat

WWDC 21 | Apple quer que você deixe de usar senhas (de uma vez por todas)

Ramon de Souza

Não é de hoje que diversas companhias de grande porte — incluindo Google e Microsoft — estão engajadas em propagar a tendência passwordless; ou seja, elaborar métodos alternativos de autenticação que sejam mais práticos e seguros do que uma simples senha alfanumérica. Durante a sua conferência Worldwide Developers Conference 2021 (WWDC 21), porém, a Apple também mostrou que está um tanto engajada em tirar esse “mundo sem senhas” do papel e transformá-lo em realidade.

“Proteger segredos é difícil, especialmente quando eles são compartilhados. A maioria dos métodos de autenticação atuais envolvem um usuário e um servidor compartilhando um segredo”, explica Garrett Davidson, engenheiro de experiência de autenticação da Apple. “Usar senhas fracas ou reutilizá-las entre múltiplas contas torna esse problema ainda pior”, complementa, indicando que 80% dos vazamentos de dados são ocasionados por credenciais simples ou roubadas (de acordo com o Verizon Data Breach Report 2020).

Após uma comparação de níveis adicionais de proteção (como gerenciadores e verificação dupla), o executivo chega ao ponto: todos eles envolvem o compartilhamento de um segredo entre servidores. As chaves físicas WebAuthn/FIDO2 são uma alternativa mais segura, já que se baseiam no uso de chaves criptográficas assimétricas (sendo que sua chave privada nunca é transferida para o servidor); porém, elas são menos práticas, já que existe a necessidade de carregá-las por aí e podem ser perdidas.

Esquemática de funcionamento do WebAuthn (Captura de Tela/The Hack)

Ainda assim, nos novos iOS 15 e macOS Monterey, absolutamente todos os apps terão suporte às chaves WebAuthn graças a família de APIs ASAuthorization. “Nós acreditamos que esta API será útil para aplicações, especialmente em contexto de alta segurança”, explica Garrett. Mas é claro que a companhia não poderia parar por aí; logo, ela também apresentou o recurso Passkeys, que integrará o já existente “Chaves do iCloud” (iCloud KeyChain).

Quadro comparativo com diferentes tipos de autenticação (Captura de Tela/The Hack)

Uma FIDO2 digital?

Trata-se de uma espécie de chave projetada no protocolo WebAuthn, mas digital, com backups no iCloud e mais fácil de usar (embora tenhamos ficado pensando sobre o fator “recuperação”, já que exige que você use sua senha do iCloud de qualquer forma). Totalmente integrada ao sistema operacional, a funcionalidade cria suas chaves automaticamente sempre que o internauta estiver realizando seu cadastro em algum aplicativo, usando métodos biométricos para desbloquear o “chaveiro” do iCloud.

Para complementar as novidades no iCloud Keychain, vale ressaltar que o recurso também poderá ser usado para armazenar e gerar códigos de verificação. Por enquanto, a tecnologia estará desabilitada por padrão nas compilações Beta do iOS 15 e do macOS Monterey, sendo focadas, nesse primeiro momento, para testes com a comunidade desenvolvedora.

Exemplo de login em app do tvOS através do iCloud Keychain (Captura de Tela/The Hack)

Por fim, esse novo ecossistema de autenticação também tornará mais fácil o ato de adentrar em sua conta em um app do tvOS — o set-top box mandará uma notificação para seu gadget Apple solicitando acesso às Passkeys armazenadas.

“Enquanto toda a indústria continua trabalhando para construir um futuro sem senhas, ainda existem passos importantes a serem dados para otimizar a infraestrutura que você já possui”, explica Eryn Wells, que também trabalha no time de engenharia de autenticação. “Tudo o que você puder fazer para tornar os internautas mais seguros é importante”, conclui.


Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.