As chaves de acesso (senhas) substituem completamente as senhas. Eles permitem que você pare de pensar e memorizar sequências complexas de símbolos. Essa abordagem é baseada na autenticação baseada em dispositivo, tornando o login mais rápido e seguro. De acordo com o Google, mais de 400 milhões de contas Google (de 1,5 bilhão desde 2018) usaram chaves de acesso desde que foram implantadas, completando mais de um bilhão de autenticações.
A tecnologia de chave de acesso é baseada na criptografia de chave pública. Durante o registro, é criado um par de chaves de criptografia – secreta e pública (privada e aberta). As informações criptografadas com uma chave pública só podem ser descriptografadas com uma chave privada. A chave privada permanece no dispositivo do usuário e a chave pública é enviada ao serviço. Posteriormente, as informações são trocadas entre o serviço e o dispositivo do usuário por meio de um canal criptografado, onde o usuário pode confirmar sua identidade com segurança por meio dos sensores biométricos de seu dispositivo.
O Google afirma que a maioria dos usuários acha as chaves de acesso mais fáceis de usar do que as senhas, observando que “desde o lançamento, as chaves de acesso provaram ser mais rápidas do que as senhas porque exigem apenas que os usuários simplesmente desbloqueiem seus dispositivos usando uma impressão digital, leitura facial ou código PIN”.
No entanto, muitas pessoas encontram problemas ao tentar usar chaves de acesso, apesar do suporte para essa tecnologia da Microsoft, Apple, Google e gerenciadores de login de terceiros, como 1Password e Dashlane. “A frustração com a tecnologia parece ser a norma e não a exceção”, diz William Brown, um blog do primeiro ano. — O desamparo dos usuários nesses temas é óbvio, mas estes são pioneiros técnicos que deveriam ser defensores da transição de senhas para chaves de acesso. Se eles não conseguirem fazer isso funcionar, como os usuários regulares irão lidar com isso?”
O gerente de produtos de autenticação e segurança do Google, Christian Brand, argumenta que “o caminho de transição nem sempre é fácil e você terá todo um grupo de usuários muito expressivos que estão tão acostumados a fazer as coisas de uma determinada maneira que pensam que algo novo está errado”. Ele reconhece que, num futuro próximo, a tecnologia de autenticação sem senha coexistirá com os métodos clássicos de login. “Acho que nós, como indústria, temos que aprender muito. Tentamos lidar com isso, mas às vezes também erramos”, acredita.
Brand acredita que tornar cada vez mais difícil o uso de senhas potencialmente inseguras poderia encorajar os usuários a usarem senhas. Ele dá um exemplo em que os usuários que fazem login usando uma senha em vez de uma chave de acesso podem ser solicitados a esperar 24 horas enquanto o Google executa verificações de segurança para garantir que a conta não foi comprometida.
O Google anunciou que em breve as chaves de acesso serão apoiadas pelo seu Programa de Proteção Avançada (APP), que protege contas de jornalistas, ativistas, políticos e empresários. Os usuários do aplicativo poderão usar chaves de acesso separadamente ou em conjunto com uma senha ou chave de segurança de hardware.
O Google também expandirá seu programa de “colaboração adicional”, que envolve o compartilhamento de alertas sobre atividades suspeitas em uma conta do Google com outras plataformas. Isto ajudará a proteger melhor milhares de milhões de utilizadores, evitando que os cibercriminosos obtenham acesso a pontos de entrada que possam expor as suas outras contas.