A tecnologia de eliminação de senhas conhecida como “chaves de acesso” proliferou nos últimos dois anos, desenvolvida pela associação da indústria de tecnologia conhecida como FIDO Alliance como uma alternativa de autenticação mais fácil e segura. E embora seja difícil substituir qualquer tecnologia tão arraigada como as senhas, novos recursos e recursos lançados esta semana estão levando as chaves de acesso a um ponto crítico.
Na Conferência Authenticate da FIDO Alliance em Carlsbad, Califórnia, na segunda-feira, pesquisadores estão anunciando dois projetos que tornarão as chaves de acesso mais fáceis de serem oferecidas pelas organizações – e mais fáceis de serem usadas por todos. Uma delas é uma nova especificação técnica chamada Credential Exchange Protocol (CXP), que tornará as chaves de acesso portáveis entre ecossistemas digitais, um recurso que os usuários têm exigido cada vez mais. O outro é um site chamado Central de senhasonde desenvolvedores e administradores de sistema podem encontrar recursos como métricas e guias de implementação que facilitam a adição de suporte para chaves de acesso em plataformas digitais existentes.
“Para mim, ambos os anúncios fazem parte de uma história mais ampla de trabalho conjunto da indústria para acabar com nossa dependência de senhas”, disse Andrew Shikiar, CEO da FIDO Alliance, à WIRED antes dos anúncios de segunda-feira. “E quando se trata de CXP, temos todas essas empresas que são concorrentes ferozes dispostas a colaborar na troca de credenciais.”
O CXP compreende um conjunto de especificações preliminares desenvolvidas pelo “Grupo de Interesse Especial de Provedores de Credenciais” da FIDO Alliance. O desenvolvimento de normas técnicas pode muitas vezes ser um processo burocrático complicado, mas a criação da CXP parece ter sido positiva e colaborativa. Pesquisadores dos gerenciadores de senhas 1Password, Bitwarden, Dashlane, NordPass e Enpass trabalharam no CXP, assim como os dos provedores de identidade Okta, bem como Apple, Google, Microsoft, Samsung e SK Telecom.
As especificações são significativas por alguns motivos. O CXP foi criado para chaves de acesso e tem como objetivo abordar uma crítica de longa data de que as chaves de acesso poderiam contribuir para o aprisionamento do usuário, tornando proibitivamente difícil para as pessoas se movimentarem entre fornecedores de sistemas operacionais e tipos de dispositivos. De muitas maneiras, porém, esse problema já existe com senhas. Os recursos de exportação que permitem mover todas as suas senhas de um gerenciador para outro são frequentemente expostos de forma perigosa e basicamente apenas despejam uma lista de todas as suas senhas em um arquivo de texto simples.
Ficou muito mais fácil sincronizar chaves de acesso entre seus dispositivos por meio de um único gerenciador de senhas, mas o CXP visa padronizar o processo técnico para transferi-las com segurança entre plataformas para que os usuários estejam livres – e seguros – para navegar no cenário digital. É importante ressaltar que, embora o CXP tenha sido projetado com chaves de acesso em mente, ele é, na verdade, uma especificação que pode ser adaptada para a troca segura de outros segredos também, incluindo senhas ou outros tipos de dados.
