Contas do Google sem senhas agora estão disponíveis; você pode converter para somente senha

Ao permitir contas do Google apenas com senha, o Google está dando um passo significativo em direção ao nosso futuro supostamente sem senha. A entrada do blog com o título “Finalmente chegou o fim da senha, de acordo com o Google, que começou a implementar o suporte para senhas em todas as principais plataformas para Contas do Google. Eles serão uma opção de login adicional além de senhas, verificação em duas etapas (2SV) etc. para os usuários.” Como parte da autenticação de dois fatores, você poderia usar uma chave de acesso com uma conta do Google, mas sempre além de uma senha. Uma chave de acesso agora pode ser usada para acessar uma conta do Google no lugar de uma senha.

Se você não estiver familiarizado com o novo mecanismo de autenticação, uma chave de acesso é um novo método de login em aplicativos e sites que um dia pode substituir uma senha. Os humanos primeiro inseriam senhas em caixas de texto básicas e, quando surgiu a necessidade de aumentar a segurança, a automação e a complexidade foram gradativamente inseridas nessas caixas de texto. A maneira correta de usar uma senha hoje é fazer com que um gerenciador de senhas coloque uma sequência aleatória de caracteres na caixa de senha. Antigamente, você digitava uma palavra lembrada no campo de senha. As senhas removem a caixa de senha porque poucos de nós realmente digitamos nossas senhas.

O Passkeys usa o padrão “ WebAuthn ” para que seu sistema operacional troque diretamente os pares de chaves público-privadas com um site, que é como você é autenticado. A demonstração do Google de como isso funcionaria em um telefone parece fantástica; a caixa padrão solicita seu nome de usuário do Google e, em seguida, solicita uma impressão digital para desbloquear o sistema de senha e fazer o login.

Em breve, os dispositivos de consumo poderão acessar os serviços do Google sem senha, enquanto as contas comerciais do Google Workspace poderão “em breve” ativar senhas para usuários finais.

As senhas ainda não estão prontas para uso generalizado

Embora o Google tenha se comprometido totalmente com as chaves de acesso, isso não significa que elas estejam preparadas para uso em massa. Em primeiro lugar, alguns sistemas (incluindo Windows, Linux e Chrome OS) não são tão desenvolvidos quanto outros (como MacOS, iOS e Android). Ainda há muito trabalho a ser feito, no entanto, o site oficial passkeys.dev oferece uma página útil que rastreia a prontidão plataforma por plataforma. Seria horrível ficar bloqueado em sua conta de senha do Google no Chrome OS, o que provavelmente acontecerá, a menos que você converta de volta para uma senha.

O segundo problema, que é que as senhas são sincronizadas por meio do ecossistema do sistema operacional em vez de por meio de um navegador, representa um retrocesso significativo na operação das senhas e não parece ser resolvido tão cedo. As chaves de acesso não funcionam da mesma forma que as senhas de hoje; se eu adicionar uma senha ao Chrome no Windows, ela ficará instantaneamente acessível em todos os meus dispositivos com o Chrome instalado, incluindo meu telefone Android, Macbook, iPhone, Chromebook etc.

As senhas são “sincronizadas com todos os outros dispositivos do usuário que executam a mesma plataforma de sistema operacional”, de acordo com a página da FIDO Alliance [grifo nosso]. Isso significa que, se eu adicionar uma chave de acesso ao Chrome no Windows, ela será sincronizada apenas com outros sistemas operacionais da Microsoft porque será adicionada ao armazenamento de senhas do provedor do sistema operacional, a Microsoft. Tudo será sincronizado e você não notará diferença se usar apenas produtos da Apple. Para o resto de nós, usar Windows e Android, Android e Linux, ou qualquer outra combinação de fornecedor de sistema operacional, exigirá um código QR e um processo de transferência baseado em Bluetooth. As grandes corporações de tecnologia no controle de senhas não parecem motivadas a torná-las tão simples e práticas quanto as senhas, o que será uma barreira significativa para sua adoção generalizada.

Todo esse problema de sincronização é confirmado pelo 1Password, “No momento, as senhas em outras plataformas exigem que você verifique usando um dispositivo do mesmo ecossistema. É trabalhoso e menos seguro sincronizar com outros sistemas operacionais ou fornecer senhas quando há soluções disponíveis, como códigos QR.” Aplicativos como o 1Password podem ou não ter recebido um convite para a festa da senha da Big Tech. Embora o 1Password afirme ser um membro da FIDO Alliance, um vídeo na página dedicada às chaves de acesso afirma que as chaves de acesso não estão abertas o suficiente. Do vídeo: “A abertura e a interoperabilidade prometidas pelas tecnologias atuais não são cumpridas. Criar uma senha em um dispositivo iPhone ou Android hoje é essencialmente impossível. Compartilhá-lo, movê-lo para outra plataforma ou sincronizá-lo com seu gerenciador de senhas favorito não são tarefas simples. Podemos melhorar.

Há muitas palavras “poderia” e “deveria” no site de senhas do 1Password, mas uma correção está sendo desenvolvida e deve estar disponível “neste verão”.

Ter uma regressão entre plataformas tão significativa na configuração padrão – que é o que a maioria das pessoas usaria – limitará substancialmente o apelo das senhas, mesmo que a empresa consiga resolver o problema de sincronização de senhas para seu próprio aplicativo.

Listagem de imagem do Google