No Dia Mundial da Senha de 2023, a Google lançou um recurso chamado Google Passkey para facilitar o uso de múltiplo fator de autenticação em seus produtos, mas não é exatamente isso que chamou mais a atenção.
Em 2005, o pesquisador de segurança Mark Burnett, sugeriu em seu livro entitulado “Perfect Passwords“, ou em tradução livre, “Senhas Perfeitas”; que cada pessoa deveria ter um dia da senha, onde você mudaria as suas senhas naquela data, ao menos uma vez por ano.
Foi inspirado nesta recomendação de segurança, que a Intel lançou em 2013, uma campanha mundial para a troca de senhas e reforçando a mensagem que suas senhas devem ser fortes, no sentido de fácil de memorizar mas difícil de adivinhar. Desta maneira, toda primeira quinta-feira do mês de Maio de cada ano, costumamos celebrar o Dia Mundial da Senha.
Um dia da senha ou dia para deixar de usá-las
Dentre os diversos fornecedores de soluções de segurança e em especial, os fornecedores de produtos voltados à controle de acesso, costumam utilizar-se da data criada pela Intel, para agora estimular o uso de Múltiplo Fator de Autenticação (MFA), que hoje é considerado a alternativa de melhor custo-benefício para a proteção de sistemas, uma vez que a senha, como bem sabemos tem diversas falhas de segurança.
Neste ano de 2023 não foi diferente, e até mesmoa a Cybersecurity & Infrastructure Security Agency (CISA), agência americana de cibersegurança, fez campanha para que empresas habilitem MFA em suas estrutruras.
Foi neste contexto, que o Google lançou sua nova funcionalidade em produção.
A partir de agora mesmo, se você for usuário de uma conta Google, você pode acessar o site https://g.co/passkeys e ativar seu passkey para substituir sua senha no serviço.
Mas o que é um passkey?
Passkey vs. Password
Mas o que é de fato um passkey e porque ele é mais seguro do que minha senha?
No sistema Passkey, você vai precisar de um dispositivo, seja ele um telefone, um laptop, um browser. E neste dispositivo, deve-se ter um “armário de chaves”, ou em inglês um KeyChain.
Os smartphones atuais, praticamente 100% deles tem tecnologias de hardware seguros, para o armazenamento de chaves de criptografia. Os laptops e até mesmo máquinas virtuais, possuem dispositivos de hardware chamados Trusted Platform Module (TPM).
Cada sistema operacional e hardware do dispositivo, tem uma maneira de abrir este cofre de chaves. Os celulares com Android ou iOS, usam autenticação biométrica para abrir o cofre.
No Windows, o Windows Hello utiliza cameras, leitores de impressão digital para abrirem o cofre de chaves.
E usando este sistema, o Google habilita o passkey. No processo, o usuário se autentica pela última vez com sua senha, e o Google gera uma chave criptográfica específica para o passkey ou dispositivo que você está cadastrando para se autenticar.
Esta chave gerada pelo Google, ficará armazenada dentro do cofre de chaves, ou TPM do dispositivo cadastrado.
A cada vez que o usuário quiser utilizar o serviço do Google, ele terá que se autenticar localmente em seu dispositivo utilizando sua biometria, esta autenticação quando positiva irá abrir o cofre de chaves e o sistema utilizará a chave do Google para se autenticar no serviço do Google.
Para o usuário, ele está se autenticando com a biometria, mas por trás das cortinas, é uma chave de criptografia que está identificando um dispositivo previamente cadastrado com o Google.
Então esta é a mágica do Google Passkey?
Sim e não. Hoje eu contei o segredo da mágica, como fazia o mágico Mister M.
Mas o que mais deixou a comunidade de segurança surpresa, é que esta funcionalidade de Passkey foi implementada em massa para todos os usuários dos serviços do Google.
Estima-se que existam 4.3 bilhões de usuários de serviços do Google. Se o Google fosse um país, teria a população aproximada do Panamá.
Imagine o esforço para implementar um projeto destas proporções? Em uma data específica, você conseguir colocar para toda uma população, um recurso de segurança e autenticação como este.
No passado, a Apple também fez um feito semelhante.
Você deve-se lembrar do Fappening Attack, quando hackers começaram a invadir contas do iCloud de celebridades e como seus iPhones costumavam sincronizar fotos, contatos e agendas com o serviço na nuvem, os atacantes conseguiram fotos privadas e fotos de celebridades nuas que eram hospedadas na nuvem da Apple.
Em questão de dias, a Apple implementou um segundo fato de autenticação que envia uma senha de acesso único, One Time Password (OTP) e que utiliza geolocalização e pedido de aprovação para login no celular do usuário.
Um projeto que em uma empresa normal levaria meses, foi implementado em dias.
Ryan Collins, na época com 36 anos, foi o hacker que invadiu e vazou fotos íntimas da atriz Jennifer Lawrence, no ataque conhecido como Fappening Attack. Ele foi condenado à 18 meses de prisão federal, em 2016.