A Microsoft anunciou um passo importante em sua jornada para um futuro sem senhas. A partir da próxima sexta-feira, 01 de agosto, a empresa começará a remover a opção de login por senha de contas pessoais que já possuem métodos de autenticação alternativos e mais seguros configurados, como o Microsoft Authenticator, o Windows Hello, chaves de segurança físicas ou as passkeys (chaves de acesso). A medida visa aumentar a segurança dos usuários, incentivando a adoção de tecnologias mais robustas contra ataques de phishing e outras ameaças digitais.
A iniciativa, que começou a ser implementada gradualmente, atinge agora um marco importante. Usuários de serviços como Outlook, OneDrive e Xbox que já utilizam métodos de verificação sem senha não precisarão tomar nenhuma atitude imediata, mas notarão que a opção de digitar a senha tradicional deixará de existir em suas telas de login. O objetivo da companhia é simplificar e proteger o acesso aos seus múltiplos serviços, eliminando o elo mais fraco da segurança digital: a senha criada pelo usuário, frequentemente alvo de vazamentos e ataques de força bruta.
O que muda na prática para o usuário?
Para quem já adotou métodos como a biometria do Windows Hello (impressão digital ou reconhecimento facial), o aplicativo Microsoft Authenticator para aprovação de login no celular ou uma chave de segurança física (YubiKey, por exemplo), a experiência de acesso permanecerá fluida e, em muitos casos, mais rápida. Ao acessar a conta, em vez de um campo para digitar a senha, o sistema solicitará diretamente a autenticação por um desses métodos já configurados.
A principal mudança ocorre para quem, mesmo com essas opções ativadas, ainda recorria à senha por hábito ou em dispositivos não configurados. A partir do prazo estipulado, essa alternativa será desativada. A Microsoft afirma que a transição será suave para a maioria, mas recomenda que todos os usuários verifiquem as configurações de segurança de suas contas para garantir que um método de recuperação e acesso sem senha esteja devidamente estabelecido.
A empresa justifica a ação com base em dados de segurança. As senhas são vulneráveis a uma variedade de ataques, desde phishing, onde usuários são enganados para entregá-las em sites falsos, até vazamentos em massa de bancos de dados de serviços terceiros. Ao remover essa porta de entrada, a companhia acredita que pode reduzir drasticamente o risco de acesso não autorizado às contas.
O que são as passkeys e por que são mais seguras?
O centro dessa nova estratégia são as passkeys, ou chaves de acesso. Trata-se de um padrão de autenticação criado pela FIDO Alliance e apoiado por gigantes da tecnologia como Google, Apple e a própria Microsoft. Diferente de uma senha, uma passkey não é algo que você precisa memorizar.
Ela consiste em um par de chaves criptográficas. Uma chave pública fica armazenada no servidor do serviço (como a Microsoft), e uma chave privada permanece segura no seu dispositivo (celular, computador ou chave de segurança). Quando você tenta fazer login, o servidor envia um desafio que só pode ser resolvido pela chave privada. O seu dispositivo, então, autoriza o acesso usando biometria ou um PIN local.
A grande vantagem é que a chave privada nunca sai do seu dispositivo e não é compartilhada com o servidor. Mesmo que um invasor consiga acesso ao banco de dados da Microsoft, ele não encontrará sua “senha”, apenas uma chave pública que, sozinha, é inútil. Além disso, as passkeys são resistentes a phishing, pois estão vinculadas ao site ou aplicativo específico para o qual foram criadas, impedindo o uso em domínios falsos.
Como se preparar para a mudança da Microsoft
Para evitar qualquer tipo de problema de acesso, é fundamental verificar e atualizar as configurações de segurança da sua conta Microsoft. Siga os passos abaixo para garantir que sua transição ocorra sem imprevistos:
- Acesse as configurações da sua conta: Faça login na sua conta Microsoft e navegue até o “Painel de segurança”.
- Vá para “Opções avançadas de segurança”: Nesta seção, você encontrará todas as formas de provar quem você é.
- Adicione uma nova forma de entrar ou verificar: Caso ainda não tenha, configure o aplicativo Microsoft Authenticator. Ele é gratuito e permite aprovar logins com um toque no celular. Outra opção é configurar o Windows Hello em um dispositivo compatível.
- Ative a “Conta sem senha”: Dentro das opções avançadas, procure pela opção de tornar sua conta “passwordless”. Ao ativá-la, o sistema passará a priorizar os métodos alternativos.
Mesmo para quem não for imediatamente afetado pela remoção da senha, a recomendação é fortalecer a segurança da conta. Ativar a verificação em duas etapas e manter um email e um número de telefone de recuperação atualizados são práticas essenciais para proteger suas informações pessoais e dados armazenados em serviços como o OneDrive e Outlook.
Fonte: CNET
