A Google anunciou hoje, que os utilizadores dos seus serviços já podem passar a usar passkeys em vez de passwords e autenticação de dois factores, para fazer login nas suas contas. As passkeys, são uma nova solução de criptografia que funciona através da utilização de um dispositivo pré-autorizado, em vez dos métodos tradicionais.
As passkeys estão a ser adoptadas por grandes empresas de tecnologias, como a Google, Apple e Microsoft, entre outras envolvidas na FIDO Alliance. Esta nova solução pode substituir as passwords tradicionais e outros sistemas de segurança, como a autenticação de dois factores (2FA) ou por SMS, através de um PIN ou do sistema de autenticação biométrico de um dispositivo móvel (leitor de impressões digitais ou Face ID). Os dados das passkeys não são partilhados com ninguém e existem apenas no dispositivo, o que é uma forma de aumentar a segurança porque não há dados que possam ser roubados através de técnicas de phishing.
Quando se adiciona uma passkey a uma conta Google, a plataforma vai começar a pedi-la quando tenta fazer login, ou quando detecta uma qualquer actividade considerada suspeita. As passkeys para as contas Google, são guardadas em qualquer hardware compatível, como os iPhone com iOS 16 e dispositivos com Android 9. Esta informação pode ser partilhada com outros dispositivos através de serviços como o iCloud ou aplicações de gestão de passwords para facilitar a vida dos utilizadores quando necessitam de trocar de dispositivo.
Os utilizadores também podem usar um dispositivo de outra pessoa para acederem às suas contas. Basta seleccionar a opção ‘Usar uma passkey de outro dispositivo’. Neste caso, é criada nesse dispositivo uma chave que só funciona uma única vez. No entanto, a Google avisa que nunca se devem criar passkeys permanentes em dispositivos partilhados por vários utilizadores porque, nesse caso, qualquer pessoa pode desbloquear o dispositivo e aceder às contas através das passkeys que lá estão guardadas.
Se se suspeitar que alguém tem acesso indevido à informação na conta (ou se perder o dispositivo com a passkey), as passkeys podem ser revogadas através das definições da conta Google.
Apesar do lançamento desta nova forma de login, as contas Google vão continuar a suportar os métodos de login tradicionais. A intenção é dar tempo a quem não tem um dispositivo compatível para fazer a transição. No longo prazo, a Google vai mudar para a utilização exclusiva de passkeys.