Desafios e Soluções

Apesar das muitas vantagens dos passkeys, existem desafios que empresas e usuários precisam considerar. Aqui estão alguns dos problemas mais comuns e como podem ser resolvidos:

1. Perda do Dispositivo

Se um usuário perder seu smartphone ou laptop, o acesso aos passkeys armazenados também pode ser perdido.

• ✔️ Uso de backups em nuvem para sincronizar passkeys com segurança entre vários dispositivos.
• ✔️ Configuração de métodos alternativos de recuperação, como códigos de segurança ou dispositivos de backup.
• ✔️ Utilização de chaves de segurança de hardware como uma opção adicional de autenticação.

2. Compatibilidade

Nem todos os sites e serviços suportam passkeys, o que pode limitar os usuários.

• ✔️ Promoção da padronização no setor por meio do FIDO2 e WebAuthn.
• ✔️ Implementação de métodos de autenticação alternativos para serviços que ainda não suportam passkeys.
• ✔️ Desenvolvimento contínuo de gerenciadores de senhas compatíveis com passkeys para facilitar a transição.

3. Aceitação do Usuário

Muitos usuários estão acostumados com senhas tradicionais e podem ter reservas quanto a novas formas de autenticação.

• ✔️ Educação e treinamento sobre os benefícios dos passkeys e por que são mais seguros.
• ✔️ Introdução gradual por meio de login com múltiplas opções, permitindo que os usuários escolham.
• ✔️ Fornecimento de uma experiência intuitiva para tornar a mudança o mais simples possível.

4. Aplicabilidade para Empresas

As empresas precisam garantir que os passkeys possam ser integrados aos seus sistemas IAM existentes.

• ✔️ Implementação de passkeys vinculados a dispositivos para maior segurança.
• ✔️ Uso de soluções de gerenciamento de identidade que já suportam passkeys.
• ✔️ Desenvolvimento de sistemas híbridos de autenticação que incluem passkeys e métodos existentes.

5. Migração de Senhas para Passkeys

A transição de senhas para passkeys é um processo que deve ser bem planejado.

• ✔️ Introdução de opções de login sem senha como uma alternativa complementar.
• ✔️ Fornecimento de caminhos de migração claros para facilitar a transição dos usuários.
• ✔️ Uso de explicações amigáveis ao usuário e dicas visuais na interface para reduzir incertezas.

Detalhes técnicos sobre como funcionam as passkeys

As passkeys são baseadas em criptografia de chave pública e permitem uma autenticação segura sem a necessidade de senhas. O processo pode ser dividido em duas etapas principais: registro e login.

Registro:

Ao criar uma passkey, o dispositivo do usuário gera um par de chaves: uma pública e outra privada:

• ✔️ A chave pública é enviada para o servidor do provedor de serviços.
• ✔️ A chave privada permanece segura no dispositivo do usuário e é protegida por biometria ou um PIN.
• ✔️ O servidor armazena a chave pública e a vincula à conta do usuário.

Processo de login:

Quando um usuário deseja acessar um serviço, a autenticação ocorre da seguinte maneira:

• ✔️ O servidor envia um desafio de autenticação para o dispositivo do usuário.
• ✔️ O dispositivo usa a chave privada para assinar o desafio.
• ✔️ A resposta assinada é enviada ao servidor e verificada com a chave pública.
• ✔️ Se a verificação for bem-sucedida, o usuário obtém acesso.

Mecanismos de segurança:

As passkeys são mais seguras do que as senhas tradicionais porque:

• 🔐 A chave privada nunca sai do dispositivo.
• 🚫 As passkeys não podem ser roubadas ou adivinhadas.
• 🌍 São resistentes a phishing, pois funcionam apenas com o domínio registrado.
• 💾 As chaves privadas são armazenadas em componentes de hardware seguros, como Secure Enclave (Apple), TPM (Windows) ou Trusted Execution Environment (Android).