Desde o lançamento em versão beta em julho desse ano, milhares de pessoas desenvolvedoras já começaram a utilizar o recurso de autenticação por passkeys para realizar login no GitHub. As passkeys são uma nova forma de autenticação de credenciais resistente a phishing, que facilita a segurança das contas, reduzindo o uso de senhas e outros métodos de autenticação mais vulneráveis.

Agora, o GitHub permite que todos os usuários utilizem passkeys para proteção das contas, visando fortalecer a segurança na plataforma como parte da missão de garantir autenticação de dois fatores (2FA) até o final de 2023, sem comprometer a experiência do usuário.

“Como é considerado um tipo de credencial relativamente novo, o GitHub quer facilitar a utilização das passkeys para grandes grupos, além de compartilhar conhecimento para ajudar outras equipes de autenticação que desejam adotar o recurso em seus produtos”, afirma o Gerente de Produtos do GitHub, Hirsch Singhal.

Registro de passkeys em diferentes dispositivos

O GitHub permite que pessoas registrem passkeys no telefone enquanto utilizam o computador, já que a autenticação permanece armazenada no telefone e permite a conexão e configuração por meio do navegador no computador. Durante a versão beta, usuários de Linux e Firefox enfrentavam dificuldades ao utilizar o recurso, mas o GitHub já conseguiu ajustar essa utilização para plataformas que ainda não têm um forte suporte para passkeys.

Atualização de chaves de segurança compatíveis

Já existem muitas chaves de segurança registradas no GitHub.com, e muitas são chaves de hardware.

“No início, pensamos que a maioria dos proprietários de chaves de hardware não gostaria de atualizar para passkeys, mas muitas pessoas optaram por fazer essa migração. Então, o GitHub investiu para tornar esse processo ainda mais fácil”, explica o Gerente de Produtos do GitHub.

Nas configurações de segurança da conta, foi adicionada a nova opção “upgrade”, uma seta ao lado das chaves de segurança compatíveis, para permitir a atualização imediata.

Considerando que a verificação de compatibilidade começou apenas em fevereiro deste ano, Hirsch Singhal ressalta que nem todas as chaves de segurança compatíveis apresentarão essa opção no momento.

“O GitHub constatou que algumas combinações de navegador, sistemas operacionais e chaves de segurança não suportavam o fluxo de novos registros utilizado para os upgrades, resultando em erros quando o GitHub tentava registrar uma nova passkey sobre essa chave de segurança. Para resolver esse problema, foram incluídas dicas de depuração, direcionando para a exclusão da chave de segurança registrada nas contas e, posteriormente, para o registro de uma nova passkey”, completa Singhal.

Aumente a adesão às passkeys gradualmente 

Pensando na segurança das contas, o GitHub incentiva o registro do novo método para garantir que todas as pessoas tenham várias credenciais de 2FA, principalmente quando possuem um dispositivo compatível que ainda não foi cadastrado com passkey. Dessa forma, será possível fazer login mesmo se uma credencial estiver perdida ou indisponível.

“O GitHub constatou que alguns usuários que já tinham registrado uma passkey, não estavam utilizando regularmente para fazer login, e muitas vezes tentavam registrar outra passkey e ficavam confusos quando o processo falhava. Pensando nisso, decidimos implementar, de forma gradual, um aviso oferecendo o registro da autenticação sem senha durante os logins aplicáveis”, diz o Gerente de Produtos do GitHub.

Avanços na indústria 

Como as passkeys não podiam ser introduzidas de forma autônoma, foi necessário que também fossem adotadas por navegadores e sistemas operacionais para se tornarem eficazes. Por esse motivo, especialistas de empresas como Apple, Google e Microsoft colaboraram para aprimorar o suporte, fechando lacunas que eram vistas como requisitos essenciais para o lançamento desse sistema de autenticação.

“O suporte entre ecossistemas é fundamental para possibilitar o uso livre e aberto das passkeys. A Microsoft, por exemplo, implementou recentemente melhorias em sua implementação de passkeys no sistema operacional Windows, oferecendo suporte ao acesso entre dispositivos. Isso significa que é possível utilizar uma passkey do telefone para fazer login em um site por um dispositivo Windows, independentemente do navegador utilizado”, afirma Hirsch Singhal.

De acordo com o Gerente de Produtos, esse suporte é relevante quando uma pessoa acessa um site pela primeira vez em um novo dispositivo e ainda não criou uma passkey. Em vez de recorrer à senha, é possível usar a passkey do telefone para fazer login e, posteriormente, criar uma nova no dispositivo Windows para futuros logins.

Além disso, para os usuários do Chrome no Mac, foi introduzido suporte ao iCloud Keychain nos Macs na versão 118 do Chrome, então passkeys criadas em dispositivos iOS e sincronizadas com o Mac agora podem ser usada dentro do Chrome.

Como cadastrar passkeys na conta do GitHub

Para registrar uma ou mais passkeys na conta, é o usuário pode acessar as configurações de segurança da conta e clicar em “Add a passkey”. Caso já existam chaves de segurança configuradas, poderá visualizar uma opção “Upgrade” ao lado, caso forem compatíveis para serem utilizadas como passkeys.

Para obter informações mais detalhadas sobre o processo de atualização de chaves de segurança para passkeys, pessoas interessadas podem consultar a documentação específica sobre passkeys do GitHub.