A Microsoft deu um passo significativo para reforçar a segurança das contas dos seus utilizadores. A empresa anunciou que todas as novas contas Microsoft passarão a ser criadas “sem password por defeito”, numa tentativa de mitigar os riscos associados a ataques como phishing, força bruta e roubo de credenciais.
Esta alteração surge na sequência de atualizações implementadas em março nas experiências de início de sessão e registo (UX) para aplicações web e móveis. Estas atualizações foram otimizadas para dar prioridade à autenticação sem password e ao uso de passkeys.
Uma nova experiência de autenticação
Joy Chik, Presidente de Identidade e Acesso à Rede da Microsoft, e Vasu Jakkal, Vice-Presidente Corporativo de Segurança da Microsoft, explicaram a mudança: “Como parte desta experiência de utilizador simplificada, estamos a alterar o comportamento padrão para novas contas. As contas Microsoft recém-criadas serão agora ‘sem password por defeito’”.
Isto significa que os novos utilizadores terão à sua disposição diversas opções de autenticação que não envolvem a criação de uma password tradicional. Para quem já possui uma conta Microsoft, existirá a opção de remover a password existente através das definições da conta, transitando para os métodos mais recentes e seguros.
O futuro passa pelas passkeys
A Microsoft irá ativar e definir como padrão o método de autenticação sem password considerado mais adequado para cada nova conta. A empresa está também a incentivar fortemente a adoção de passkeys. As passkeys são vistas como uma alternativa mais robusta às passwords, utilizando métodos de autenticação biométrica, como a leitura de impressão digital ou o reconhecimento facial, para verificar a identidade do utilizador.
Após o primeiro início de sessão, os utilizadores serão convidados a configurar uma passkey. Nos acessos seguintes, será pedido que utilizem essa passkey para entrar na sua conta. “Esta experiência simplificada permite um início de sessão mais rápido e, nas nossas experiências, reduziu o uso de passwords em mais de 20%”, acrescentaram Chik e Jakkal. A visão a longo prazo é clara: “À medida que mais pessoas adotarem as passkeys, o número de autenticações por password continuará a diminuir até que possamos, eventualmente, remover totalmente o suporte a passwords”.
Contexto e estratégia da Microsoft
Esta aposta da Microsoft em eliminar as passwords não é isolada. A empresa é membro ativo da FIDO Alliance, uma associação industrial que promove as passkeys como um padrão standard para autenticação segura, já utilizado em milhares de milhões de contas globalmente.
Recorde-se que a Microsoft já tinha implementado o suporte para autenticação com passkeys nas contas pessoais há cerca de um ano. Além disso, integrou um gestor de passkeys nativo no Windows Hello com a atualização 22H2 do Windows 11. Mais recentemente, a empresa começou a testar atualizações na API WebAuthn para permitir a utilização de fornecedores de passkeys de terceiros na autenticação sem password do Windows 11.
Esta mudança para um modelo “passwordless by default” representa um avanço importante na segurança digital, simplificando o acesso para os utilizadores e dificultando a vida aos cibercriminosos.
(TT)