Hoje (2) é o Dia Mundial da Senha, data propícia para retomarmos um assunto abordado recentemente neste Manual: as chaves-senha, ou passkeys.
Na minha coluna de 12 de abril, tentei, da melhor maneira que consegui, explicar o que são as chaves-senha. Mencionei no final que existem “preocupações legítimas com as chaves-senha ajudando a concentrar ainda mais poder nas mãos (ou nos servidores) de poucas empresas”.
No final de abril, William Brown, mantenedor da principal biblioteca do padrão Webauthn em Rust (webauthn-rs), expôs seu descontentamento com chaves-senha. “Um sonho destroçado”, o título do post, dá uma ideia da desilusão do rapaz, que é basicamente o que costuma acontecer quando a big tech se envolve: Google implementou do jeito que quis e dane-se o padrão, Apple chegou depois e terminou de zoar o que já estava longe do ideal.
Fora o lance da namorada dele perder todas as chaves-senha salvas em sua conta da Apple e a concentração de dados vitais nas grandes empresas, as reclamações de Brown são de ordem técnica, no que quero dizer meio difíceis para leigos compreenderem. Quando alguém tão envolvido com o assunto se diz de saco cheio do negócio, talvez seja um momento para reflexão.
A essa altura, acho que as chaves-senha falharão nas mãos do público em geral. Perdemos a nossa chance de ouro de eliminar senhas graças ao desejo [da big tech] de capturar mercados e promover o hype.
[…]
Reforçando — minha companheira, que é extremamente inteligente, uma ávida gamer e cirurgiã veterinária, descartou as chaves-senha porque a UX é uma merda. Ela quer voltar às senhas.
E estou começando a concordar — um gerenciador de senhas oferece uma experiência melhor do que a das chaves-senha.
Isso mesmo. Estou aqui dizendo que senhas são uma experiência melhor do que chaves-senha. Você sabe o quanto me dói escrever essa frase? (E sim, isso significa que o MFA com TOTP ainda é importante para senhas que exigem memorização fora de um gerenciador de senhas.)
Então faça um favor a si mesmo. Adote algo como Bitwarden ou se você gosta de hospedagem suas coisas, Vaultwarden. Deixe-o gerar suas senhas e gerenciá-las. Se você realmente quiser chaves-senha, coloque-as em um gerenciador de senhas que você controla. Mas não use chaves-senha em um local controlado por plataformas e tenha muito cuidado com as chaves de segurança.
E se você quiser usar uma chave de segurança, basta usá-la para desbloquear seu gerenciador de senhas e seu e-mail.
Ouch.
Coloquei um aviso bem grande no início da coluna sobre chaves-senha, linkando para esta nota. Talvez o melhor seja aguardar um pouco mais para ver no que isso vai dar antes de aposentarmos as (não tão) boas e velhas senhas. Feliz Dia Mundial das Senhas…?