Orientadas pela aliança FIDO e apoiadas pela Apple, Google e Microsoft, as passkeys estão se aproximando da usabilidade convencional. A configuração de um novo login com passkeys gera um par de chaves: o site recebe a chave pública e a usuária fica com a chave privada. O processamento do login usa criptografia assimétrica. A usuária prova que está de posse da chave privada, que é armazenada no dispositivo da usuária e nunca é enviada ao site. O acesso às senhas é protegido por meio de biometria ou de um PIN. As chaves de acesso podem ser armazenadas e sincronizadas dentro dos grandes ecossistemas de tecnologia, usando o iCloud Keychain da Apple, o Password Manager do Google ou o Windows Hello. Para usuárias de várias plataformas, o Client to Authenticator Protocol (CTAP) possibilita que as senhas sejam mantidas em um dispositivo diferente daquele que cria a chave ou que precisa dela para o login. A objeção mais comum ao uso de chaves de acesso alega que elas são um desafio para as usuárias menos experientes em tecnologia, o que acreditamos ser contraditório. Em geral, essas são as mesmas usuárias que têm pouca disciplina com senhas e que, portanto, se beneficiam mais com métodos alternativos. Na prática, os sistemas que usam passkeys podem recorrer a métodos de autenticação mais tradicionais, se necessário.
O "fim das senhas" pode estar próximo, finalmente. Gerenciadas pela FIDO Alliance e apoiados pela Apple, Google e Microsoft, passkeys estão se aproximando da usabilidade convencional. Ao configurar um novo login com passkeys, um par de chaves é gerado: o site recebe a chave pública e a usuária fica com a chave privada. A verificação do login usa criptografia assimétrica. A usuária prova que está de posse da chave privada mas, ao contrário das senhas, ela nunca é enviada ao site. Nos dispositivos das usuárias, o acesso às senhas é protegido por biometria ou PIN.
As chaves podem ser armazenadas e sincronizadas nos ecossistemas das Big Techs, usando o iCloud Keychain da Apple, o Google Password Manager ou o Windows Hello. Na maioria dos casos, isso funciona apenas com versões recentes do sistema operacional e do navegador. O armazenamento de chaves no Windows Hello não é suportado no Windows 10. Felizmente, porém, o CTAP - Protocolo Cliente para Autenticador) torna possível que as passkeys sejam mantidas em um dispositivo diferente daquele que cria a chave ou precisa dela para o login. Por exemplo, uma usuária cria uma chave de acesso para um site no Windows 10 e a armazena em um iPhone digitalizando um código QR. Como a chave é sincronizada via iCloud, a usuária pode fazer login no site a partir, digamos, de seu MacBook. As chaves também podem ser armazenadas em chaves de segurança de hardware, e o suporte para aplicativos nativos chegou no iOS e no Android. Apesar de alguns problemas de usabilidade – por exemplo, o Bluetooth precisa funcionar porque a proximidade do dispositivo é verificada quando um código QR é escaneado – vale a pena considerar passkeys. Sugerimos que você as experimente em passkeys.io para ter uma ideia de sua usabilidade.
