2022/12/12

Chrome 108 já suporta Passkeys

A mais recente versão do Chrome já suporta oficialmente as Passkeys, o novo sistema de autenticação que visa substituir as passwords.

Sabendo-se que as passwords continuam a ser um elemento de risco, com milhões de pessoas continuam a utilizar passwords fracas e vulneráveis - e nem vamos falar dos serviços que continuam a enviar passwords por email quando os utilizadores se registam - a única forma de as tornar seguras é torná-las desnecessárias. É precisamente isso que as empresas tecnológicas querem fazer com as Passkeys, e várias empresas já se estão a preparar para isso.

Depois do 1Password ter demonstrado o sistema, é agora o Chrome 108 que passa a contar com suporte oficial para as Passkeys.
A ideia é que os utilizadores possam simplesmente validar a sua conta utilizando um dispositivo validado como um smartphone ou o computador, sem necessidade de terem que memorizar ou guardar qualquer password.

O problema é que, por agora, os utilizadores ainda poderão encontrar alguns detalhes por limar, havendo plataformas que ainda não suportadas totalmente (no Windows será obrigatório usar o Windows 11), outras que podem ainda não suportar sincronização das contas, etc. Mas, isso serão detalhes que irão sendo limados. É também necessário que os próprios sites adiram a este sistema - que felizmente é standard.

Resta aguardar para ver que técnicas criativas os atacantes e campanhas de phishing irão inventar para tentar enganar os utilizadores com este sistema; talvez com envio de pedidos excessivos na esperança de que o utilizador se farte e aceite, ou que clique num dos popups de autenticação por engano. Veremos!

4 comentários:

  1. Sem falar que de repente, com as Passkeys meia dúzia de empresas tecnológicas dos EUA (Apple, Google, Microsoft) passam a ter acesso a todas as contas dos utilizadores que utilizarem tal sistema Passkey, se assim bem lhes apetecer, já que são eles que as guardam, ou algum tribunal o exigir, ou as secretas quiserem uma cópia (por motivos de segurança nacional).
    E se o país deixar de cair nas boas graças dos EUA, podem de um momento para o outro perder acesso aos servidores e deixar de ter acesso às Passkeys, no mínimo em novos dispositivos.

    Algumas empresas já estão a suportar as Passkeys em regime de tercerização, por isso a segurança anti-phishing fica logo ultrapassada já que a pessoa não se está efectivamente a autenticar perante o web site final, mas perante um intermediário que atacantes podem aproveitar para se meter no meio e receberem eles a página autenticada e fingir um erro qualquer ou mandar a pessoa para outra página que possa enganar o utilizador de alguma maneira.

    Pedidos excessivos para a pessoa se autenticar, pode resultar com qualquer tipo de autenticação, é só por dizer que dependendo da forma como for implementado pode ser mais favorável a que a pessoa autentique-se sem querer, por carregar no lado errado sem contar com isso, ou se farte de pedidos sem fim para autorizar algo... isso realmente imagino que aconteça, e acho que já utilizaram esse tipo de ataque em outros casos.

    ResponderEliminar
    Respostas
    1. Mas em muitos a Google já tem as credenciais de login de muita coisa, pois é comum guardarem as passwords no browser e sincronizar na conta Google.

      Eliminar
    2. Certo, mas com as PassKeys a sincronização meio que deixa de ser opcional e fica quase obrigatório enviar as chaves privadas que certificam ser você algures para a Internet onde fica à mercê da boa vontade e competência de empresas que claramente provam ano após ano não serem merecedoras de confiança (escândalos de espionagem, funcionários com acessos que não deveriam, senhas que ficam expostas em registos de acesso, vulnerabilidades de segurança em tudo o que produzem e que são descobertos às dezenas ou mais todos os anos). Reconheço o mérito de tentarem fazer alguma coisa para acabar com este pandemónio de utilizador & senha, mas meter tudo em meia dúzia de empresas/ aplicações parece uma receita para o desastre, em especial num mundo onde só se consegue fazer coisas perfeitas se forem coisas unicamente para uma finalidade especifica, que não vejam coisas novas adicionadas que adicionem complexidade e que não dependam de terceiros para funcionarem bem, algo na linha do autenticador "Trezor" mas dedicado única e exclusivamente para autenticação e nada mais, para reduzir a quantidade de código fonte que tem de ser produzido e reduzir a interação com o exterior até ao limite mínimo possível... e que seja algo que pode ser extensivamente analisado por parte de especialista em segurança até ficar no ponto em que toda a gente concorda que é algo tão seguro que eles mesmos utilizariam no seu dia a dia, e tal é possível num autenticador tipo "Trezor", mesmo backups poderiam ser feitos de forma perfeitamente segura entre dispositivos e que a pessoa pode guardar em casa, na empresa, em casa de familiarers/ amigos, em cofres bancários/ de empresas de segurança que alugam cofres... e que mesmo que tenham acesso ao autenticador sem o código de decifrar e um PIN não conseguem fazer nada. E algo assim poderia ser muito barato, na casa dos 25 euros ou menos dado que pode ser tudo muito básico.

      Eliminar
  2. Infelizmente:

    https://youtu.be/_DcRF0sEpp8

    ResponderEliminar