O "fim das senhas" pode estar próximo, finalmente. Gerenciadas pela FIDO Alliance e apoiados pela Apple, Google e Microsoft, passkeys estão se aproximando da usabilidade convencional. Ao configurar um novo login com passkeys, um par de chaves é gerado: o site recebe a chave pública e a usuária fica com a chave privada. A verificação do login usa criptografia assimétrica. A usuária prova que está de posse da chave privada mas, ao contrário das senhas, ela nunca é enviada ao site. Nos dispositivos das usuárias, o acesso às senhas é protegido por biometria ou PIN.
As chaves podem ser armazenadas e sincronizadas nos ecossistemas das Big Techs, usando o iCloud Keychain da Apple, o Google Password Manager ou o Windows Hello. Na maioria dos casos, isso funciona apenas com versões recentes do sistema operacional e do navegador. O armazenamento de chaves no Windows Hello não é suportado no Windows 10. Felizmente, porém, o CTAP - Protocolo Cliente para Autenticador) torna possível que as passkeys sejam mantidas em um dispositivo diferente daquele que cria a chave ou precisa dela para o login. Por exemplo, uma usuária cria uma chave de acesso para um site no Windows 10 e a armazena em um iPhone digitalizando um código QR. Como a chave é sincronizada via iCloud, a usuária pode fazer login no site a partir, digamos, de seu MacBook. As chaves também podem ser armazenadas em chaves de segurança de hardware, e o suporte para aplicativos nativos chegou no iOS e no Android. Apesar de alguns problemas de usabilidade – por exemplo, o Bluetooth precisa funcionar porque a proximidade do dispositivo é verificada quando um código QR é escaneado – vale a pena considerar passkeys. Sugerimos que você as experimente em passkeys.io para ter uma ideia de sua usabilidade.
