Passkeys são mesmo o futuro?

A algum tempo surgiu uma matéria sobre a Microsoft estar implorando a seus usuários o uso de passkeys para aumentar sua segurança (e reduzir alguns infortúnios). Todavia, cada empresa das passkeys de uma forma diferente sem nenhuma integração. Isso quando não te empurram sua própria solução que funciona apenas naquele sistema-alvo, ex: Microsoft para o Authenticator e Windows Hello, Apple para o iCloud Keychain

Aí entram os apps de terceiros.
Tenho testado o Bitwarden e o 1password (pago), com menção a este ultimo, tem funcionado muito bem, incluindo o login via passkeys aqui mesmo em vários navegadores e sistemas. O Bitwarden tem funcionado bem em PCs, mas em celulares as coisas não são tão integradas como imaginava.

Queria saber da galera, como estão se virando em relação as passkeys. Se alguém conhece outro meio que funciona de forma sincronizada entre outros sistemas.
Ou se é melhor contar apenas com método 2FA e continuar gerando senhas, seja com %$# ou com entropia (conjunto de palavras/caracteres aleatórios em grande quantidade)

No Android ele funciona até bem pra passkey, o problema é que a versão atual do app está com um bug em que ele se tranca imedianatamente após fechar, e como o sistema de passkey dele volta pra página de login pra você selecionar a passkey e ele abrir de novo momentanemante para autenticar, nessa segunda vez ele já está trancado e o processo não é validado e retorna um erro. Os devs já estão cientes.

Eu acho a ideia interessante, mas até as empresas parececem estar meio perdidas em como implementar. O Discord por exemplo me trancou de fora quando formatei o celular, porque a passkey que eu tinha condigurado na verdade estava sendo usada como 2FA e não como login e por algum motivo não aceitava a que eu estava usando. Na primeira vez que configurei ele não me deu opção de nada, so criou. depois que concsegui logar, removi a que tinha pra configurar de novo e dessa vez o app me deu 3 opções, sendo uma delas a passkey como deveria funcinar e outra usar a passkey como 2FA.

Aqui, depois de passar pelo 1Password, estou usando o Proton Pass.
Mas não tem um padrão de cadastro de passkeys em app nenhum.
Isso dificulta a adoção.
Backup idem, se você pretende mudar de plataforma.
Alguns logins entram chamando o app no smartphone, outros pegam pela extensão do navegador no desktop. É bem chato se cadastrar.

Sim sim eu também tive problemas de conflitos com o 2FA. É interessante pois se trata de um sistema totalmente aparte das passkeys. Porém notei que os apps também tem suporte ao 2FA.

A solução mesmo estando a algum tempo no mercado parece não ser tão simples quanto um 2FA para implementar.

Notei também esse bug @fefernoli e agora tem mais um no app do Windows que não processa a senha e diz estar errada. Mas na interface web funciona.

Acho que fiz uma boa escolha em ter migrado, vamos ver como o 1password se sai.

Já tinha ouvido falar nesse Proton Pass (uso o Proton Mail vejo ads do Pass), tem funcionado bem? Também li sobre o Nordpass que parece funcionar de forma semelhante.

Bem que microsoft, apple e google podiam se juntar e padronizar essa bagunca, ai sim ficaria bom de adotar.
De preferencia com alguma solução de backup do acesso em um token ou smartcard, qualquer coisa fisica que nao estrague facil e que não precisamos carregar no dia a dia conosco.

2 Likes

Depois do Lastpass (que inclusive me mandou um email falando que minha conta inativa vai ser excluida kkkkk) eu migrei pro Bitwarden por ser bastante recoemndado e ter tudo que preciso no plano free. 1Password é melhor que ele no free também? Achei o app bem bonito (isso tem um apelo pra mim).

1 Like

Funciona bem, muito raro não identificar o login em algum site.
Mas sinto falta de alguns recursos como as tags para organização e a opção de login com dados do Gmail, Facebook, Apple etc.
Como é um app com pouco tempo de vida, ainda carece de recursos que apps maduros como o 1Password têm.

A UI é boa, mas a UX tem deficiências.

1 Like

Concordo @Felipe_Silva mas acho difícil entrarem em algum acordo. Cada um fez a sua própria solução e nenhuma funciona a contento infelizmente.

O 1password tem 14 dias free @fefernoli depois só pagando, como uso no iOS e a assinatura via App Store libera acesso pra geral, fiz por lá, aí pago bem menos do que seria assinando direto pelo site, que está em dólar.

1 Like

As passkeys seguem padrões da FIDO Alliance, a bagunça no momento é com os SOs e apps que implementam o suporte.

No Windows, de forma nativa só é possível utilizar o Windows Hello, que ainda não tem sincronização entre dispositivos, ou então depender de alguma extensão no navegador da sua preferência (que obviamente vai ficar presa naquele navegador/serviço).

No Android 13 e anteriores, até onde sei só dá para utilizar o Chrome, mas a partir do Android 14 existem APIs nativas do sistema para integrar com aplicativos de terceiros (é o que o Google Password Manager e o Samsung Pass utilizam, por exemplo).

No macOS e iOS não sei como anda essa questão de apps/serviços de terceiros, mas com uma conta iCloud parece funcionar muito bem, mesmo entre dispositivos diferentes…

2 Likes

Parte da bagunça acho que vem por que Passkeys são uma extensão do FIDO2, que antes eram apenas chaves físicas.

Mas a longo prazo essas coisas se resolvem.

Como tinha até falado no post original, acabei desistindo de tentar usar passkeys por conta da dificuldade que eu tive pra colocar tudo no 1Password, especialmente as passkeys do Google e da própria Microsoft. As únicas que consegui cadastrar até hoje foram as do GitHub e do WhatsApp, e a do GitHub que pude testar funcionou bem. Mas ainda prefiro me manter na boa e velha combinação de senha forte + 2FA enquanto não padronizam de vez a forma de criar e salvar elas.

Eu queria dessa, mas o ideal é ter duas, uma sendo backup da outra, mas caro demais.

1 Like

Aqui eu consegui colocar tudo no Bitwarden, quando não deu pelo Android, eu fiz pela extensão do Chrome pc. Uma ou outra que só puxava o Google Password, mas depois foi possível colocar no Bitwarden também.

1 Like

Da pra usar códigos de segurança como backup. Não precisa ter duas.

Era o que eu iria dizer. Ainda desejo ter uma, mas o preço e probitivo. Além de partilhar do mesmo lema dos backups: Quem tem uma, não tem nenhuma.

1 Like