Vratislav Holub A segurança da conta melhorou significativamente nos últimos anos. Hoje, muitas vezes é necessário ter uma certa combinação de letras maiúsculas e minúsculas, números e caracteres especiais como senha, o que também complementa a autenticação de dois fatores. Mas, como acontece agora, a Apple vai mudar essas formas tradicionais e fortalecer ainda mais a segurança em geral. Durante a conferência de desenvolvedores WWDC21, ele anunciou uma maneira muito mais segura e simples. Ele combina autenticação sem senha usando WebAuthn e Face/Touch ID usando Keychain no iCloud.
iOS 15 traz uma série de melhorias para FaceTime:
Fotogalerie
Esta inovação foi facilmente refletida nos novos sistemas operacionais iOS 15 e macOS Monterey, mas não está disponível para uso regular. Uma mudança em grande escala poderia, sem dúvida, ser considerada um tiro no escuro, e agora cabe aos desenvolvedores brincar com ela. Tal como, por exemplo, Google ou Microsoft, a Apple está a embarcar num estilo interessante de segurança, que deve ser o mais simples e seguro possível. Nesse caso, o padrão principal é o WebAuthn em combinação com a autenticação biométrica. Teoricamente, isso evita problemas de phishing.
Todas essas novidades foram apresentadas durante a apresentação Vá além da senha na WWDC21, onde Garret Davidson explicou como funciona o padrão WebAuthn mencionado acima e como funciona com chaves públicas e privadas. Nesse caso, não são utilizadas senhas clássicas, mas sim as chaves mencionadas. No caso do procedimento atual, a segurança funciona no estilo de você inserir seu nome de login e senha. A senha é então obtida e criada a partir dela por meio da função hash criptográfica usada hash. Este último é geralmente enriquecido ainda mais pelos chamados sal, resultando em uma longa string de teste que não pode ser descriptografada em sua forma original da mesma maneira. O problema com isso é que existe o chamado compartilhamento secreto. Não só você precisa proteger isso, mas também o servidor.
E devemos nos livrar exatamente desse procedimento descrito com o tempo. A maior vantagem do WebAuthn é que ele depende de um par de chaves, nomeadamente pública e privada. Neste caso, o seu dispositivo cria este par único ao mesmo tempo ao criar uma conta no servidor. A chave pública é simplesmente pública e pode ser compartilhada com qualquer pessoa, por exemplo, com o servidor. A chave privada é apenas para você (nunca é compartilhada) e é armazenada de forma suficientemente segura diretamente no próprio dispositivo. Essa mudança poderia, teoricamente, tornar possível o login simplesmente inserindo um nome de usuário e, em seguida, confirmando todo o processo com uma leitura de rosto ou impressão digital.
O anúncio da Apple na CES 2019 em Las Vegas parodia o slogan icônico da cidade:
Fotogalerie
Como mencionado acima, este é um tiro no escuro e teremos que esperar um pouco até que este método de autenticação seja introduzido. Graças aos benefícios do WebAuthn e à criptografia ponta a ponta do conhecido Keychain no iCloud, deve ser o método mais seguro até o momento, que em vários aspectos supera todos os métodos usados até agora, incluindo a autenticação de dois fatores.
