Todas as medidas de segurança nos browsers tendem a recair sobre um único elemento. É nas passwords que temos de confiar e no grau de proteção que oferecem, como um modelo clássico e com provas dadas.
Esta verdade universal parece ter os dias contados, com uma nova proposta apresentada pelo WC3 e que está agora aos chegar aos browsers. As passwords vão ser passado e a WebAuthn vão ocupar este espaço.
A nova proposta pretende eliminar, de uma vez por todas, a utilização de passwords para acesso aos sites da Internet e implementar um novo padrão para este tipo de autenticações.
O WebAuthn foi apresentado finalmente num estado suficiente maduro para ser finalmente implementado nas próximas versões do Chrome e do Firefox. Esta será a API que irá revolucionar as autenticações, recorrendo a um novo modelo.
Na prática, as autenticações por passwords vão ser substituídas por novas formas, mais seguras, e que dependem da impressão digital, da leitura da íris ou de um simples PIN. Estes métodos e as novas autenticações vão ser armazenadas nos serviços da mesma forma que as passwords.
Esta API irá registar as autenticações nos diferentes serviços, podendo ser usadas da mesma forma que as atuais passwords. A diferença está no seu grau de segurança, mais elevado e mais preparado para garantir a segurança dos mecanismos de autenticação.
Ainda é cedo para se ver a WebAuthn em autenticação, apesar de estar já presente. Empresas como a Google e a Mozilla preparam-se para as introduzir como padrão nos seus browsers. Espera-se que o Chrome 67 e o Firefox 60 tenham já presentes estes mecanismos ativos nativamente. Do lado da Apple e do seu Safari ainda não existem movimentações, esperando-se que em breve esteja também disponível.
Tem sido um longo caminho no sentido de eliminar de vez os tradicionais e mais que gastos mecanismos de autenticação assentes em passwords. A mudança parece vir com o WebAuthn e com o que tem sido desenhado ao longo dos últimos 2 anos.