O Google Passkey vai acabar de vez com as senhas?

Você há de concordar que cada vez mais vivemos em um mundo dependente de senhas. Elas são necessárias para uma infinidade de situações quotidianas e isso pode dar muito trabalho e trazer aborrecimentos.

Mas finalmente a preocupação e as dores de cabeça por causa das senhas, podem estar com os dias contados, graças ao Google Passkey!

Sim, você não leu errado e se quer saber o que é e como funciona, acompanhe até o fim esse conteúdo...

O que é o Google Passkey?

O Google Passkey – ou chave de acesso Google, em tradução direta – é uma tecnologia que promete acabar de uma vez por todas com as famigeradas senhas, tão presentes e necessárias tanto no mundo online, como no mundo físico.

A ideia é que todo site ou app no qual é necessário usar o antigo método de autenticação por meio de usuário e senha, passe a usar o Passkey.

Assim, da mesma forma como alguns sites e apps permitem ao usuário escolher autenticação pelo Facebook, por uma conta Google, um cadastro próprio ou outros métodos, a nova tecnologia anunciada aparece como alternativa segura e simples e em um futuro breve, promete aposentar todas as demais.

Após uma fase de testes iniciada em Outubro / 2022, fazendo uso da versão estável do Chrome M108 para Android, o Google divulgou oficialmente a introdução do recurso no blog do projeto Chromium.

Nessa fase inicial, os usuários beneficiados necessariamente precisam ter um celular Android e ter instalado o navegador web Chrome na versão 108 mobile.

Apesar de levar o nome do Google, o Passkey não é um recurso proprietário e fruto da iniciativa isolada da big tech das buscas. Participam do projeto e do seu desenvolvimento, outros gigantes do setor, como Apple e Microsoft, membros do FIDO Alliance e também o W3C.

Como funciona o Google Passkey?

Resumidamente o que o Passkey faz, é usar como método para checar a identidade do usuário, o mesmo mecanismo utilizado para acesso ao seu smartphone Android e que pode ser um processo biométrico (impressão digital ou leitura facial) ou a tela de bloqueio.

Uma vez que seja feito o reconhecimento, usa-se um conjunto de chaves, sendo uma pública no site ou no app e outra privada, presente no smartphone e que são necessárias para a criptografia das informações trocadas na autenticação.

O grande diferencial é que tal como os métodos de autenticação do Google Authenticator ou do Authenticator (Microsoft), os códigos gerados são temporários e de uso único, ou seja, só servem para aquela ação. Em um segundo login ou que exigir autenticação, o código anterior será inválido e é esse um dos conceitos que se apoia a segurança do método.

Por que o Google Passkey é seguro?

Como mencionamos imediatamente acima, os códigos gerados e trocados entre site / app e smartphone, são únicos e assim, mesmo que um hacker – ou black hat hacker, se preferir – conseguisse obter o código e as chaves (pública e privada), o que é bastante improvável, no acesso seguinte, um novo código seria necessário e, portanto, exigiria ter em mãos o smartphone.

A chave de acesso (Passkey) também não é informada pelo dispositivo ao fazer login. Apenas um código gerado com segurança, é trocado com o site. É preciso reiterar que nenhuma senha é envolvida no processo, o que significa que em caso de invasões ao site e/ou um vazamento de dados, não existirá algum dado que permita acessar a conta.

Sendo assim, as pessoas não precisarão mais criar senhas fortes e seguras, usar um gerenciador de senhas e preocupar-se em criar uma única para cada site, app ou serviço. Nem mesmo métodos de autenticação de dois fatores (2FA) ou múltiplos fatores (MFA), serão necessários.

Em um mundo sem senhas, também combate-se outro grande problema do mundo digital – o phishing.

Como usar o Google Passkey?

Empolgados com a ideia de não precisar criar e gerenciar uma infinidade de senhas, a dúvida que vem à cabeça da maioria, é como usar o Google Passkey?

Depois de salvar uma chave de acesso em seu dispositivo Android, ela pode aparecer no preenchimento automático quando você for realizar o login em um site ou app que já utilize o recurso. Sim, os sites precisam incluir a nova funcionalidade como meio de acesso.

Sempre que for necessário autenticar-se em um serviço de um site ou app, em vez de que informar usuário e senha, bastará proceder tal como faz quando você desbloqueia seu smartphone.

Mas nessa fase inicial ainda há limitações, já que por ocasião do lançamento, só celulares Android e usando no mínimo a versão M108, estão habilitados. A equipe do projeto informou que já está trabalhando para disponibilizar em breve para aparelhos iOS.

No caso de desktops ou notebooks, é preciso ter também o navegador Chrome, versão 108, para os sistemas operacionais Windows 11 e MacOS. Nesses casos, os sites que já oferecem essa forma de autenticação, exibirão um QR Code que deve ser lido pela câmera do celular em que o Passkey estiver habilitado e daí em diante o login é liberado pelo dispositivo móvel e o acesso / navegação, ocorrerá normalmente pelo desktop ou notebook.

O Google informou que está trabalhando para disponibilizar também para Chrome OS, mas não mencionou nem o Linux, nem o Chrome OS Flex em seu comunicado.

Quando o Google Passkey substituirá todas as senhas?

O tão esperado anúncio de algo capaz de acabar com as senhas, traz alguma ansiedade quanto a quando isso de fato ocorrerá.

Não basta a tecnologia existir, ela precisa ser adotada pela comunidade participante e que significa em termos práticos, que sites, aplicativos e serviços que façam uso de métodos de autenticação, comecem a adotá-la, bem como os usuários tenham dispositivos compatíveis.

Do lado dos usuários, já vimos que por enquanto, só quem tem Windows 11 e MacOS e a última versão do Google Chrome (108). Quando chegará aos navegadores alternativos, é uma pergunta ainda sem resposta, mas provavelmente chegue primeiro àqueles baseados no Chromium, que é o caso do Microsoft Edge e em um segundo momento, os demais que têm suporte a Web Authentication (webauthn).

Os desenvolvedores precisam criar suporte para usar o novo método em seus sites, usando a WebAuthn API.

Em outras palavras, esse é um processo gradativo e que deve levar algum tempo, mas que já abre perspectivas positivas não apenas em termos de facilidades para usuários, mas sobretudo, de maior segurança no mundo digital.