Eu ignorei o empurrão da Passkey do Google, mas agora me sinto bobo por aguentar

Eu tenho uma senha de 22 caracteres que é uma mistura aleatória de letras, números e caracteres especiais. Mas inserir essa senha em um dispositivo novo se tornou uma tarefa árdua. Adicione um prompt de autenticação de dois fatores por meio de um aplicativo ou SMS do Authenticator, e o processo de login pode se tornar frustrantemente longo. Isso é reconhecidamente apenas um pequeno inconveniente no grande esquema das coisas, mas não é elegante.

Também estou em minoria – a maioria das pessoas não usa um gerenciador de senhas e reutiliza as mesmas informações de login em todos os lugares. Felizmente, acontece que há uma solução para o atrito de manter senhas longas, porém seguras: passagens.

Os passagens eliminam a necessidade de digitar suas senhas enquanto, simultaneamente, melhoram a segurança de suas contas on -line. Isso pode parecer bom demais para ser verdadeiro, mas depois de ativar acidentalmente o recurso na minha conta do Google, nunca mais voltarei a usar uma senha novamente.

Nos termos mais simples possíveis, a Passkey deve atuar como um substituto completo para senhas, permitindo fazer login em sua conta com uma chave digital salva no seu dispositivo. Essa chave pode ser sincronizada em todos os seus dispositivos e normalmente está travada atrás de sua biometria. Com todos nós carregando um smartphone, a transição para passagens é mais realista do que nunca.

Agora, esse tipo de explicação no nível da superfície não transmite completamente o quão realmente útil e segura as passagens realmente são. É exatamente por isso que ignorei os avisos do Google para proteger minha conta com uma pasta por tantos meses. Não achei que as passagens seriam mais convenientes do que o preenchimento automático de senha que já tenho à minha disposição.

Para entender verdadeiramente as vantagens das passagens, ajuda a ver como um login de pastagem realmente funciona em comparação com a abordagem de senha tradicional. Vamos pegar uma conta do Google, por exemplo.

Com as passagens, o primeiro passo permanece o mesmo: você entra no nome de usuário da sua conta e atinge Próximo. Mas, em vez de solicitar sua senha, o site solicitará uma passagem de passagem. Na captura de tela acima da minha área de trabalho, o gerenciador de senhas interno do Chrome não tinha uma pasta salva, então perguntou se eu gostaria de usar um dispositivo diferente.

Como sei que uma pasta para minha conta do Google vive no meu telefone Android, selecionei a primeira opção para fazer login com um dispositivo externo. Isso traz um código QR que eu posso digitalizar usando a câmera do meu telefone e aceitar a solicitação de login. E com apenas mais algumas torneiras e minha impressão digital para autenticação, estou dentro. Meu computador e telefone se comunicam sobre o Bluetooth para transferir os dados da Passkey; Portanto, meu telefone não precisa de uma conexão com a Internet para que esse processo funcione.

Não preciso aprovar o login com outro prompt de autenticação de dois fatores, porque o processo de login inclui inerentemente vários fatores de segurança. Quando você se autentica com sua impressão digital, varredura de rosto ou pino de dispositivo para usar a pasta passada armazenada com segurança no seu telefone, você está combinando algo que você ter (o dispositivo com a chave) com algo que você são (seu biométrico) ou algo que você saber (seu alfinete).

Obviamente, a função de preenchimento automático do meu gerenciador de senhas significa que quase nunca preciso digitar minhas senhas. Mas não posso usar o Autofil, ao configurar um novo telefone Android ou fazer login em um Chromebook que ocasionalmente pede minha senha. As passagens são perfeitas aqui porque posso fazer login a partir de um dispositivo diferente, como meu tablet.

Nos dispositivos que eu uso diariamente, as passagens são ainda mais convenientes porque as guardo no meu gerenciador de senhas. Isso significa que não preciso alcançar meu telefone se estiver usando meu computador. Meu gerenciador de senhas aparece e se oferece para me efetuar logar com o Passkey salvo – como na foto abaixo, é quase o mesmo processo que o AutoFilt para uma senha. O fato de eu não precisar preencher minha senha, além de um código de autenticação de seis dígitos, é outro bônus de boas-vindas.

A maioria dos sites ainda mantém a capacidade de fazer login através de uma senha, mas nos próximos anos, você pode esperar que as passagens se tornem o padrão. E, eventualmente, podemos nem ter senhas de conta individuais para se preocupar à medida que as empresas diminuem completamente seu uso.

Passkeys são mais seguros

As passagens são uma grande vitória de conveniência, mas, mais importante, são um grande passo em frente em termos de garantia de segurança on -line. As passagens são armazenadas com segurança dentro de um cofre criptografado no seu dispositivo e não podem ser roubadas por malware. E, diferentemente das senhas memoráveis, um invasor também não pode apenas adivinhar sua conta por meio de tentativas de força bruta.

Uma pasta é criptograficamente exclusiva para cada domínio, o que significa que você nunca pode reutilizar acidentalmente a chave digital em um site ou aplicativo diferente. Mesmo que os servidores de um serviço fossem comprometidos ou invadidos amanhã, um invasor não pode usar os dados da sua conta da sua conta dessa violação para fazer login em outros lugares. Em outras palavras, você está a salvo do notório ato de venda de senha na Web Dark.

Essa natureza específica do domínio das passagens é um recurso de segurança crucial, especialmente quando se fala em phishing. Com as senhas, os invasores podem configurar páginas de login falsas que parecem idênticas às reais – com um domínio convincente como o g0ogle.com. A maioria das pessoas digitava seu nome de usuário e senha, talvez até o código 2FA da conta e entregasse suas credenciais diretamente.

Por outro lado, o processo de autenticação da Passkey está vinculado ao domínio do site real. Seu dispositivo ou navegador só se oferecerá para usar sua pasta se você estiver no site verificado correto. Se você pousar em um site falso – mesmo que pareça perfeitamente legítimo para os olhos – seu dispositivo não completará o aperto de mão.

Finalmente, enfatizarei que as passagens não são uma nova tecnologia não testada – o esquema de autenticação de chave pública subjacente existe há décadas. Utilizamos os mesmos princípios criptográficos fundamentais enquanto acessamos sites HTTPS e eu o uso enquanto conecto ao meu servidor da Web sobre o SSH. O único aspecto novo das passagens é a comunicação perfeita entre o navegador ou o telefone e o site que você está tentando fazer login.

Gigantes de tecnologia como Google, Apple e Microsoft tentam aumentar a adoção da Passkey há quase dois anos, mas as primeiras implementações não foram nada menos que um desastre. Para que a tecnologia funcione como pretendido, sua escolha de navegador e sistema operacional precisa apoiá -la. E se você usar um gerenciador de senhas como eu, isso também precisa estar a bordo. Como exemplo, o Bitwarden adicionou o suporte da Passkey nos meses de mesa antes do recurso aterrissado no celular. E a Sync Sync Cross-Plataform foi adicionada apenas ao Google Mastren Manager no final de 2024.

Além da história, no entanto, o suporte da Passkey finalmente amadureceu a ponto de eu recomendá -lo de todo o coração em toda e qualquer plataforma.

Como eu disse anteriormente, a maioria dos gerentes de senha agora ganhou suporte para a sincronização da Passkey Crossplataform, o que significa que você só precisa criar uma pasta para cada conta uma vez. Mesmo se você usar o Google Password Manager, ele sincroniza suas passagens no navegador Chrome em todas as plataformas de desktop e Android. De fato, o Google já começou a criar contas passadas para um telefone Android. Se você entrar nas configurações de segurança da sua conta do Google, poderá ver seu telefone já listado como um provedor de passagens.

O suporte da Passkey agora é assado em todos os principais sistemas operacionais e navegadores, para que você não precise de nenhum hardware ou software especial para começar. E embora nem todos os sites ainda o suporte, a lista está crescendo lentamente. Olhando para a minha caixa de entrada, recebi e -mails para permitir passagens de Cathay Pacific, PlayStation e PayPal. Uma lista completa de sites suportados pela Passkey é mantida no Passkeys.Directory.

As passagens podem ser sincronizadas entre os dispositivos, mas descobri que as restrições do ecossistema ainda se aplicam. Por exemplo, as passagens armazenadas no chaveiro da Apple não podem ser transferidas para o Android. Portanto, se você usar plataformas diferentes, eu recomendo usar um gerenciador de senhas como Bitwarden, 1Password ou Proton Pass. Tudo isso sincroniza suas passagens através de seus dispositivos, mesmo que você diga, alterne entre um Mac e um telefone Android.

Supondo que o site suporta passagens, você encontrará o processo de ativação é o mesmo que definir uma nova senha – normalmente uma opção nas configurações de segurança da sua conta. Depois de aceitar o prompt, o site entrega o processo de criação da Passkey ao seu navegador ou sistema operacional.

Com o Bitwarden instalado em meus dispositivos, ele geralmente aparece para perguntar se eu gostaria de salvar novas passagens (foto acima). As teclas salvas são sincronizadas automaticamente com o restante dos meus dispositivos. Todo o processo leva apenas alguns segundos e não requer digitação.

Usando o Passkey para futuros logins é ainda mais simples – o site solicitará automaticamente a Passkey associada. Seu dispositivo exibirá um prompt solicitando que você confirme o login usando sua impressão digital, rosto ou pino. Você pode até usar um dispositivo diferente, desde que tenha uma câmera e uma conexão Bluetooth. Uma varredura rápida ou toque, e você está instantaneamente conectado sem uma senha ou código 2FA separado. Ele realmente transforma o login de um processo frustrante de várias etapas em uma única ação de autenticação rápida.

Embora as mensagens em torno de passagens até agora tenham sido bastante desarticuladas e confusas até agora, agora estou convencido de que elas são o futuro da segurança on -line. Acredito que o Google, a Apple e a Microsoft devem melhorar seus esforços de marketing para promover esse recurso, pois salvará inúmeras pessoas de perder suas contas para roubo de credenciais e outros vetores de ataque comuns.