Você nunca vai querer que a identidade seja uma barreira entre você e seus clientes. Mas o recente Relatório de Tendências de Identidade do Cliente da Okta descobriu que:
- 33% dos entrevistados indicaram sentir frustração quando têm de criar uma senha que atenda a requisitos específicos.
- 63% dos entrevistados relatam que, pelo menos uma vez por mês, não conseguem fazer login em uma conta porque esqueceram seu nome de usuário ou senha
Apesar de toda essa frustração, as senhas continuam sendo uma das formas mais comuns de autenticação online, mesmo sendo inconvenientes e inseguras.
Para combater o flagelo das senhas, a autenticação sem senha tem crescido em adoção ao longo dos anos como uma forma de as empresas protegerem os seus clientes, proporcionando simultaneamente maior conveniência. A inovação mais recente neste domínio são as passkeys, cortesia da FIDO Alliance.
No ano desde que as passkeys foram anunciadas pela primeira vez, muita coisa mudou tanto em sua nomenclatura quanto em sua disponibilidade. No entanto, uma coisa que ainda não mudou é a necessidade de mais conhecimento sobre o que são as passkeys, como funcionam e seus benefícios.
Este post tem como objetivo desmistificar essa tecnologia nova, inovadora e nascente para ajudá-lo a passar de dizer "o quê de pass?" para "passkey".
O que são passkeys?
As passkeys substituem as senhas pelo que a FIDO observa como “logins mais rápidos, fáceis e seguros em sites e aplicativos nos dispositivos de um usuário”. Acrescentando que “ao contrário das senhas, as passkeys são sempre fortes e resistentes a phishing”.
Dado que as passkeys substituem as senhas, elas são consideradas uma forma de autenticação sem senha.
Para ser um pouco mais técnico, uma passkey é um par de chaves criptográficas — uma para sua organização que é pública e outra para seu usuário conhecido que é privada. É importante ressaltar que é uma chave privada porque sua organização nunca a vê. Esses pares de chaves desempenham um papel fundamental na autenticação real de um usuário, mas chegaremos a isso em um segundo.
As passkeys vêm em duas formas:
- Chaves de acesso sincronizadas, que são sincronizadas entre os dispositivos de um usuário por meio de um serviço de nuvem, como um ecossistema de sistema operacional ou gerenciador de senhas. Para os clientes, o benefício disso é que a mesma chave de acesso pode ser usada em vários dispositivos em um determinado ecossistema.
- Passkeys vinculadas ao dispositivo, que nunca saem do dispositivo onde são geradas. Estas podem ser utilizadas em chaves de segurança FIDO, incluindo as que obtiveram a certificação de nível de segurança.
Para passkeys sincronizadas, em particular, a experiência é perfeita e pode ser acessada da mesma forma que os usuários desbloqueiam seus dispositivos móveis — usando um dado biométrico, PIN ou padrão.
Como funcionam as passkeys?
Como observado acima, as passkeys dependem da criptografia de chave pública para autenticação em vez de senhas. Essa abordagem é significativamente mais segura porque nenhum segredo compartilhado (uma senha) é transferido para um servidor de aplicativos. Em vez disso, um par de chaves pública e privada é usado para autenticar em um aplicativo. A chave pública é armazenada no servidor do aplicativo (em vez de uma senha), e a chave privada correspondente é armazenada no dispositivo de um usuário. Importante, a chave privada não é compartilhada com o aplicativo como uma senha.
Nesse modelo, quando um usuário tenta fazer login, em vez de verificar sua identidade com uma senha, o servidor emite um desafio digital que só pode ser resolvido comprovando a posse da chave privada. Isso é feito por meio de um desbloqueio de dispositivo familiar usando biometria, PIN ou um padrão em um telefone, laptop ou tablet. Uma vez desbloqueada, a chave privada “assina” o desafio e o envia de volta ao servidor para ser validado pela chave pública.
É importante ressaltar que, do ponto de vista da experiência do usuário, as complexidades da criptografia (e os benefícios de segurança) acontecem nos bastidores, simplificando sua conveniência para um simples desbloqueio do dispositivo.
Benefícios das passkeys
As passkeys melhoram simultaneamente a conveniência e a segurança.
Para os clientes que acessam seu aplicativo, você pode melhorar as taxas de conversão por meio de experiências simples de inscrição e login, ao mesmo tempo em que impulsiona a fidelidade com os mais altos níveis de segurança de conta.
Como são baseadas nos padrões FIDO, as passkeys são intencionalmente projetadas para serem mais resistentes a ataques como phishing, nos quais agentes mal-intencionados usam comunicações escritas (por exemplo. e-mail, mensagens de texto ou sites fictícios) para se mascararem como uma fonte respeitável para roubar as credenciais de uma pessoa.
E, como observado acima, com as passkeys, as organizações podem aproveitar a tecnologia existente que os consumidores conhecem e usam diariamente. Uma abordagem padronizada permite que os consumidores que usam dispositivos nos ecossistemas da Apple, Google ou Microsoft criem e acessem uma passkey da mesma forma que desbloqueiam seus dispositivos.
Vamos analisar os benefícios de segurança e experiência do usuário com mais detalhes.
Benefícios de segurança
- Resistente a phishing: A CNBC relatou um aumento de 61% nos ataques de phishing em 2022. As passkeys bloqueiam ataques de engenharia social porque funcionam apenas para o site para o qual foram criadas.
- Mais seguras contra violações de dados: As bases de dados são um alvo principal para os cibercriminosos porque armazenam frequentemente senhas e outros dados pessoais. Uma vez que nenhum segredo partilhado (uma senha) é partilhado, os servidores da sua organização tornam-se um alvo menos interessante para os maus atores que procuram roubar credenciais de clientes.
- Fortes por defeito: Ao contrário das senhas, as passkeys são sempre fortes, nunca podem ser adivinhadas ou vistas, tornando-as menos suscetíveis a ataques de engenharia social.
Benefícios da experiência do usuário
- Criação de conta sem senha: As passkeys podem melhorar as taxas de conversão, tornando a jornada de “usuário desconhecido” para “cliente conhecido” sem senha. Dados do Google mostram que os usuários que se autenticam com passkeys têm quatro vezes mais probabilidade de conversão.
- Escalável em todos os dispositivos: Os consumidores têm mais de uma maneira de interagir com sua marca. As passkeys permitem acesso contínuo, permitindo que os consumidores usem a mesma passkey em vários dispositivos em um determinado ecossistema. Ao contrário das senhas, eles criam uma passkey uma vez e podem usá-la em todos os lugares.
- Menos senhas, menos motivos para desistir: 83% dos clientes abandonam a criação de conta devido a políticas de senha tediosas. Com as passkeys, você pode melhorar o engajamento e a retenção do usuário, eliminando a necessidade incômoda (e insegura) de digitar uma sequência de caracteres.
As passkeys potencializam a flexibilidade
Vamos recapitular:
- As chaves de acesso são uma substituição de senha da FIDO Alliance
- Elas eliminam a necessidade de memorizar senhas complexas
- Permitir que os usuários façam login da mesma forma que desbloqueiam seus dispositivos móveis
- Aumentar a segurança, sendo mais resistente ao phishing
- E, reduzir o atrito de login para impulsionar a conversão
É por isso que o mundo da segurança está tão animado com as passkeys.
Mas elas não são toda a história. Embora nós e muitos outros estejamos entusiasmados com o potencial das passkeys, as empresas precisam encontrar seus clientes onde eles estão. Ser capaz de atender de forma flexível a um conjunto diversificado de necessidades é fundamental.
Provedores de serviços como a Apple e o Google incorporaram flexibilidade ao fazer login com seus produtos. Com as passkeys ativadas em uma plataforma CIAM forte, você pode oferecer flexibilidade semelhante — em dispositivos e plataformas.
Nosso objetivo é continuar a oferecer suporte a um conjunto mais amplo de requisitos que ajudem as empresas a permitir que seus clientes se autentiquem de uma forma que faça sentido para eles. Pronto para uso, o Okta oferece suporte a várias formas de autenticação (incluindo chaves de acesso) juntamente com os valores essenciais esperados de uma plataforma Customer Identity em autorização, gerenciamento de usuários e segurança de identidade. Combinado com a extensibilidade de nossa plataforma e facilidade de implementação, o Okta Customer Identity Cloud oferece aos desenvolvedores e equipes digitais as ferramentas de que precisam para conhecer, proteger e gerar alegria ao usuário.
Quer saber mais sobre como sua organização pode usar o CIAM para garantir um futuro sem senhas com passkeys? Entre em contato para obter mais informações.
–
Para documentos com conceitos de privacidade/jurídicos ou aconselhamento de privacidade/segurança:
Esses materiais e quaisquer recomendações neles contidas não constituem aconselhamento jurídico, de privacidade, de segurança, de conformidade ou comercial. Estes materiais são destinados apenas para fins informativos gerais e podem não refletir os desenvolvimentos de segurança, privacidade e jurídicos mais atuais, nem todas as questões relevantes. Você é responsável por obter aconselhamento jurídico, de segurança, de privacidade, de conformidade ou comercial de seu próprio advogado ou outro consultor profissional e não deve confiar nas recomendações aqui contidas. A Okta não é responsável por quaisquer perdas ou danos que possam resultar da implementação de quaisquer recomendações nestes materiais. A Okta não oferece representações, garantias ou outras garantias em relação ao conteúdo destes materiais. Informações sobre as garantias contratuais da Okta para seus clientes podem ser encontradas em okta.com/agreements.
