Microsoft adota Passkeys como padrão, protegendo novas contas contra Phishing

Um ano após anunciar o suporte a passkeys para contas de consumidores, a gigante da tecnologia Microsoft deu um passo significativo rumo a um futuro sem senhas, ao tornar o método de autenticação resistente a phishing o padrão para a criação de novas contas.

"Novas contas Microsoft agora serão 'sem senha por padrão'", anunciaram Joy Chik e Vasu Jakkal, executivos da Microsoft. "Novos usuários terão diversas opções sem senha para fazer login em suas contas e nunca precisarão cadastrar uma senha. Usuários existentes podem visitar as configurações de suas contas para excluir suas senhas."

A fabricante do Windows informou que também simplificou a experiência de login e cadastro, priorizando métodos sem senha. Além disso, o processo de login agora detecta automaticamente o melhor método disponível na conta do usuário e o define como padrão. Por exemplo, se uma conta tiver a opção de login via senha e um "código de uso único", o usuário será solicitado a fazer login via código único em vez da senha.

Uma vez logado, ele será instruído a configurar uma passkey para proteção ideal. A mais recente iniciativa da Microsoft, juntamente com outras empresas como Apple, Google e Amazon nos últimos anos, representa um avanço constante em direção a um futuro sem senhas. Com os ataques cibernéticos baseados em senhas continuando a ser um vetor de acesso inicial lucrativo para invasores, a adoção de passkeys representa um passo importante para a segurança das contas.

Em setembro de 2023, a Microsoft implementou o suporte a passkeys no Windows 11, aproximadamente na mesma época em que o Google tornou as passkeys seu método de login padrão para todos os usuários globalmente. No ano passado, a empresa atualizou o Windows Hello para suportar a tecnologia. As passkeys oferecem uma maneira mais segura de fazer login em sites e aplicativos, eliminando a necessidade de senhas.

Com o apoio da Fast Identity Online (FIDO) Alliance, as passkeys dependem de técnicas de criptografia de chave pública/privada para autenticar os usuários. Assim, quando um usuário se cadastra em um serviço online, seu dispositivo cliente (ou seja, telefone ou PC) gera um novo par de chaves. A chave privada é armazenada com segurança no dispositivo do usuário, enquanto a chave pública é registrada no serviço.

Durante o login, o dispositivo cliente usa a chave privada para assinar um desafio depois que o proprietário do dispositivo o autentica usando suas informações biométricas (por exemplo, reconhecimento facial ou impressão digital). Em outubro de 2024, a FIDO Alliance informou que está trabalhando com as partes interessadas para facilitar a exportação de passkeys e outras credenciais entre diferentes provedores e melhorar a interoperabilidade dos provedores de credenciais.

Mais de 15 bilhões de contas de usuários podem fazer login usando passkeys em vez de senhas desde dezembro do ano passado. A associação aberta da indústria também lançou, no mês passado, um Grupo de Trabalho de Pagamentos (PWG) para definir e impulsionar soluções FIDO para casos de uso de pagamento. Espera-se que o PWG "identifique e avalie soluções existentes e emergentes para atender aos requisitos de autenticação de pagamento" e estabeleça "diretrizes para o uso de passkeys e/ou soluções FIDO propostas, juntamente com as tecnologias de pagamento existentes". 

Via - THN