Resumo
Os códigos de login por SMS estão a ser substituídos por passkeys nos telemóveis, mais seguros e cómodos. As passkeys geram chaves criptográficas no dispositivo e no serviço, eliminando a necessidade de enviar códigos pela internet, tornando mais difícil para os criminosos intercetarem. O processo é simples: ativar a passkey nas definições de segurança da conta, confirmar com impressão digital, rosto ou PIN, e está feito. Gestores de palavras-passe como Bitwarden ou 1Password também suportam passkeys. Não é necessário auditar todas as contas de uma vez, basta ativar a passkey quando solicitado. Assim, as contas tornam-se mais seguras e livres de códigos por SMS.
Não vamos demonizar o SMS. Durante muito tempo foi um compromisso aceitável: mais seguro do que ter só uma password, mas menos seguro do que uma app autenticadora. O problema é que tem falhas conhecidas.
A mais grave é o chamado SIM swapping, em que um criminoso consegue “clonar” o teu número junto da operadora e passa a receber os teus códigos. Há ainda falhas técnicas nas próprias redes que permitem intercetar mensagens. E, claro, aquela frustração de sempre: o código que nunca chega, ou chega tarde demais.
Aqui está a magia. Quando crias uma passkey, o teu telemóvel gera duas chaves criptográficas: uma fica guardada no teu dispositivo e nunca sai de lá; a outra fica no serviço onde estás a entrar (o banco, a Amazon, o que for).
Quando fazes login, as duas são comparadas. E para “destrancar” a chave do teu lado, basta a tua impressão digital, o teu rosto ou o PIN do telemóvel. O ponto crucial é este: nada de sensível viaja pela internet. Aquele código que costumava aparecer nas tuas mensagens deixa simplesmente de existir. Se não há nada a ser enviado, não há nada para os criminosos intercetarem. E, como costuma dizer-se, é bem mais difícil perder o teu dedo ou a tua cara do que perder uma password.
A melhor parte é que não precisas de instalar nada. O teu telemóvel já está preparado para isto.
No Android, o Gestor de Palavras-passe da Google guarda e sincroniza as tuas passkeys em todos os dispositivos onde tens a tua conta Google. No iPhone, o iCloud Keychain faz exatamente o mesmo. Sem apps extra, sem complicações.
O processo varia ligeiramente consoante a marca do telemóvel, mas a lógica é sempre a mesma:
Abre o site ou a app onde queres criar a passkey (por exemplo, a Amazon). Vai às definições de segurança da conta. Procura a opção “passkey” ou “chave de acesso” e seleciona-a. Segue os passos e confirma com a tua impressão digital, rosto ou PIN. E pronto está feito.
É praticamente igual. Entras nas definições de segurança do serviço, escolhes a opção de passkey, e o Face ID ou o Touch ID tratam da confirmação. O iCloud Keychain guarda tudo e sincroniza pelos teus dispositivos.
Se tentares entrar a partir de um equipamento que não tem a tua passkey guardada (por exemplo, um computador), vais receber um pedido para ler um código QR com o telemóvel. Ele usa Bluetooth para confirmar que estás mesmo ali e autentica-te sem nunca partilhar a chave privada.
Boa pergunta e a resposta é tranquilizadora. Não ficas preso à Google nem à Apple. Se usas o Bitwarden, o 1Password, o Proton Pass ou outro semelhante, também estás coberto. A maioria dos gestores de palavras-passe já suporta passkeys. Só precisas de garantir que o gestor está definido como a opção de preenchimento automático predefinida no telemóvel.
Um último conselho prático para não te sentires sobrecarregado: não tens de auditar todas as tuas contas numa tarde. É aí que a coisa começa a parecer trabalhosa e desistes.
A melhor abordagem é simples: sempre que entrares numa conta e te aparecer a opção de criar uma passkey, ativa-a nesse momento. Em muitos casos, o próprio serviço vai sugerir-te isso no próximo login. Aos poucos, e quase sem esforço, ficas com as tuas contas mais seguras do que nunca e livre dos chatos códigos por SMS.
Fonte: Zero Zero
