2022/05/05

Google, Apple e MS querem dizer adeus às passwords

No Dia Mundial da Password, a Google, Apple e Microsoft anunciaram a intenção de dizer adeus às mesmas, optando por sistema de autenticação FIDO sem palava-passe.

A única password segura é uma password inexistente, sendo que até a mais complexa e longa password do mundo pode facilmente sucumbir a um site de phishing ou a um malware com keylogger que espie tudo o que se escreve. É por isso que nos últimos anos se assistiu a uma exigência crescente da utilização de sistemas de autenticação multi-factor, que não dependam unicamente de uma password; mas em breve poderemos dispensar as passwords por completo.

A Google, Apple e Microsoft comprometeram-se a implementar sistemas de autenticação sem password, usando autenticação FIDO.
A ideia é que, em vez de recorrer a passwords fáceis de decorar, ou de (obrigatoriamente) usar um gestor de passwords para usar passwords seguras, se dispense a password e se utilize o smartphone para validar a sua autenticação, funcionado como "chave digital".

Diz a Google:
O utilizador precisa apenas de ter o seu telefone por perto pois ser-lhe-á pedido para o desbloquear para ter acesso. Depois de fazer isto, o utilizador não irá precisar do seu telefone novamente e poderá fazer o registo apenas desbloqueando o seu computador. Mesmo que perca o seu telefone, as suas chaves de acesso serão sincronizadas com segurança com o seu novo telefone a partir do backup na cloud permitindo que o utilizador retome exatamente onde o seu dispositivo antigo parou.
Embora muitos serviços já permitissem usar FIDO, normalmente isso só era possível após o registo inicial com um password convencional, mantendo essa vulnerabilidade. Com este novo sistema, nunca se terá que introduzir qualquer password, reforçando a segurança, e também facilitando a vida aos utilizadores. Veremos se 2023 será o ano da morte das passwords.

3 comentários:

  1. E como vai ser quando eu perder/roubo/furto do smartphone/tablet/PC portátil e da bagagem/carteira com os documentos enquanto viajo num país estrangeiro? Vou ao consulado do meu país, tenho cópias digitalizadas dos meus documentos para tentar uma segunda via urgente do passaporte/CC, como faço para aceder à minha cloud num computador de terceiros (consulado, esquadra, hotel)?
    Tenho os dados do e-ticket no meu email e voo para daqui a umas horas, como acedo a esses dados? Acesso aos meus dados bancários, apps de pagamentos ou de saúde para fazer face a uma emergência no estrangeiro ou um motim, início de uma guerra, no tribunal/prisão para pagar uma fiança,... como ficam essas situações previstas? Qualquer smartphone que eu compre num país estrangeiro não poderá ter um número SIM do meu país de origem, mesmo os e-sim precisam ser registados no país de origem na 1ª utilização...
    Porque quando tudo corre bem, tudo corre bem, mas quando corre mal, normalmente, corre muito pior.
    Seniores e não seniores sem smartphone e mesmo até sem telemóvel, como ficam?
    Portanto a biometria é que era, a forma mais segura de garantir que eu sou eu era a impressão digital e/ou o meu rosto medido pela camara em 3000 pontos, durou pouco esse caminho.
    A ideia é interessante, prática mas esquece os casos limite e os detalhes, e o diabo está nos detalhes ;)

    ResponderEliminar
    Respostas
    1. exacto, esse é o meu maior problema, mesmo com os gestores de PW, neste momento nao tenho 2FA no gestor de PW por isso mesmo. ja me aconteceu ficar sem acesso ao tlm e nao ter acesso a nada pk nao conseguia entrar no gestor de PW.

      Eliminar
    2. @João
      O sistema falado no artigo segue os standards WebAuthn e FIDO2, que usa Security Keys e/ou Biometrics do telemóvel, portanto, o problema em caso perda/roubo/etc não existe.

      @Ricardo
      Aconselho vivamente utilizares 2FA, tens sempre os backups codes que podes imprimir em papel e manter num local seguro, em caso perda/roubo/etc do telemovél.

      Deixo aqui alguns sites com mais informações:
      https://webauthn.guide/ (vejam video de explicação)
      https://webauthn.io/

      Eliminar