GitHub anuncia autenticação com passkeys na plataforma
O recurso, já disponível em versão beta pública, permite utilizar passkeys no lugar das senhas e do método 2FA
A maioria das violações de segurança não é produto de ataques inusitados e repentinos, mas sim de ações de baixo custo, como engenharia social, roubo ou vazamento de credenciais e outros meios que fornecem aos invasores uma ampla gama de acesso às contas das vítimas e aos seus recursos. Na realidade, as senhas, nas quais todos confiam, são a causa raiz de mais de 80% das violações de dados.
Para fortalecer a segurança das contas, o GitHub lançou no início de 2023 a iniciativa de autenticação em dois fatores (2FA) na plataforma e, hoje, anuncia a versão beta pública da autenticação por passkeys.
As passkeys se baseiam na função das chaves de segurança tradicionais, mas adicionando configurações mais práticas e a capacidade de recuperação mais aprimorada, oferecendo um método seguro, privado e fácil de usar para proteger as contas, além de minimizar o risco de bloqueios.
De acordo com o Gerente de Produtos do GitHub, Hirsch Singhal, passkeys aproximam as pessoas à perspectiva da autenticação sem senha, ajudando a erradicar completamente as violações baseadas nessa questão. “É por isso que o GitHub está empenhado em ajudar a tornar a segurança de conta ainda mais forte, mantendo-se fiel ao nosso compromisso de não comprometer a experiência do usuário”, afirma.
Como usar passkeys na conta do GitHub
Para habilitar passkeys na conta do GitHub, o usuário deve clicar na foto do seu perfil no canto superior direito de qualquer página, abrir o menu “Feature Preview” (Visualização de recursos) e clicar em “enable passkeys” (habilitar chaves de acesso).
Dispositivos atualizados são compatíveis com as passkeys desde o início, só é preciso que a autenticação seja configurada. Ao acessar a visualização do recurso, o GitHub perguntará ao navegador utilizado durante o login se o indivíduo deseja configurar uma passkey. Em caso afirmativo, e se ainda não configurou esse tipo de autenticação no dispositivo, será solicitado que configure uma. “Ao registrar credenciais duradouras e seguras em todos os aparelhos que os usuários utilizam, esperamos evitar bloqueios de conta devido à perda de dispositivos”, reforça o Gerente de Produtos do GitHub.
Como passkeys podem substituir senhas
As passkeys para acesso ao GitHub.com exigem verificação dos usuários, o que significa que contam como dois fatores em um: algo que a pessoa é ou sabe (como impressão digital, reconhecimento facial ou PIN) e algo que possui (como chave de segurança física ou dispositivo). Com essa força de autenticação, a plataforma não precisa de senhas para confirmar que é realmente a pessoa certa que está fazendo login. Devido ao suporte dos navegadores e seus sistemas de preenchimento automático, é possível receber sugestões automáticas para o uso de passkey diretamente na página de login.
Essa experiência não se limita apenas a usuários com 2FA ativado, todos podem concluir um login usando apenas a autenticação por passkey.
Como usar passkeys em vários dispositivos
O uso de passkeys não se restringe apenas ao dispositivo em que foram criadas, elas também podem ser usadas de outros aparelhos. Uma nova experiência, conhecida como Cross-Device Authentication, permite que as pessoas utilizem passkeys em seu telefone ou tablet para fazer login em sua área de trabalho, ao validar a presença de seu telefone.
É possível selecionar um dispositivo vinculado anteriormente ou digitalizar um QR code com o telefone, concluir o login lá e, em seguida, já estará conectado à área de trabalho. “Como o telefone ou tablet devem estar fisicamente próximos ao computador, a Cross-Device Authentication mantém a promessa de resistência a phishing da FIDO Alliance”, informa Hirsch Singhal.
Além do uso entre dispositivos, várias passkeys podem ser sincronizadas em diferentes dispositivos, garantindo que a pessoa não seja bloqueada em sua conta devido à perda de chaves. Dependendo do provedor de passkey, essa autenticação pode ser sincronizada automaticamente em dispositivos, ou seja, a conta do iCloud sincronizará passkeys do iOS para o macOS. O Gerenciador de senhas do Google sincronizará em dispositivos Android, e gerenciadores de senhas como 1Password ou Dashlane podem sincronizar passkeys em instalações de seus gerenciadores em qualquer dispositivo.
“O suporte de sincronização expandido é um trabalho que está em andamento para fornecedores de sistemas operacionais e navegadores, mas os principais mecanismos de sincronização já estão disponíveis no mercado”, reforça o Gerente de Produtos.
Apesar disso, nem todas as senhas são sincronizadas entre os dispositivos. Nas configurações do usuário, o GitHub mostra um rótulo “synced” nas credenciais relatadas como sincronizadas. Dependendo do modelo de risco escolhido, chaves não sincronizadas podem ser a opção de preferência, e essa escolha é individual quando se trata de escolher a configuração de passkeys.
Como atualizar chaves de segurança para passkeys
Essas chaves de segurança na conta podem estar apenas esperando para serem atualizadas e performar todo o seu potencial. Se a chave de segurança de uma determinada pessoa for capaz de verificar sua identidade (por exemplo, Touch ID, Windows Hello, impressões digitais do Android, chaves de hardware biométricas ou por PIN), ela poderá ser atualizada. E na próxima vez que entrar com essa chave de segurança, o GitHub perguntará se deseja atualizá-la para uma passkey, o que a registrará novamente com o provedor de passkey. Esse novo registro garante que a passkey seja detectável durante a autenticação e também sincronizada, se for compatível.
Como as passkeys preservam a privacidade, talvez seja necessário que as pessoas cadastradas acionem suas autenticações em passkey algumas vezes durante o fluxo de atualização para que o GitHub possa garantir que está alterando a credencial correta. Depois desse processo, o usuário estará pronto para uma experiência sem senhas.
*Fonte: GitHub
