As Passkeys Funcionam no Modo de Navegação Anónima?

Cada vez mais empresas estão a implementar passkeys nos seus websites e aplicações. Ao fazê-lo, muitos programadores de software e gestores de produto questionam-se se as passkeys funcionam nos modos de navegação anónima ou privada, pois isto tem uma grande influência na experiência geral do utilizador.

Com esta publicação de blogue, procuramos responder às seguintes perguntas:

1. As passkeys funcionam no modo de navegação anónima/privada?
2. Qual é o comportamento da autenticação com passkey no modo anónimo/privado no Chrome, Safari, Edge e Firefox?

Este conhecimento garante uma experiência de utilizador fluida em diferentes navegadores e sistemas operativos, posicionando a sua aplicação na vanguarda da segurança e conveniência.

As passkeys são essencialmente chaves criptográficas usadas para autenticar utilizadores sem a necessidade de palavras-passe tradicionais. Elas oferecem segurança reforçada ao eliminar os riscos associados ao roubo de palavras-passe e ataques de phishing.

Normalmente, as passkeys são armazenadas de forma segura no dispositivo, e a sua funcionalidade permanece consistente mesmo nos modos anónimo ou privado na maioria dos sistemas operativos, exceto no Windows 10 (ver abaixo), desde que o dispositivo esteja preparado para passkeys.

Os modos anónimo ou privado são comummente usados para navegar na internet sem deixar rasto. Esta funcionalidade é valiosa para os utilizadores que priorizam a privacidade, e é essencial que os métodos de autenticação, como as passkeys, funcionem perfeitamente nestes modos.

No entanto, na história do desenvolvimento do WebAuthn, tem havido discussões e melhorias contínuas, pois o comportamento costumava ser bastante confuso e inconsistente entre sistemas operativos e navegadores (veja estas discussões antigas e relatórios de bugs para referência aqui, aqui e aqui).

Compreender o comportamento das passkeys em vários navegadores e sistemas operativos ajuda a garantir a compatibilidade e uma experiência de utilizador fluida.

As passkeys funcionam no modo de navegação anónima/privada?

No Windows 10 (22H2), descobrimos a única exceção em que as passkeys não funcionam de forma fiável e obtivemos as duas capturas de ecrã seguintes ao tentar usar um autenticador de plataforma (Windows Hello):

Mensagem de erro da passkey no modo de navegação anónima do Chrome no Windows 10

Mensagem de erro da passkey no modo InPrivate do Edge no Windows 10

Quando mudámos para o modo de navegação normal, tudo funcionou como esperado, pelo que a mensagem de erro no pop-up é enganadora.

Além disso, se tentássemos usar um autenticador multiplataforma (por exemplo, uma chave de segurança de hardware, como a YubiKey, ou a Autenticação Entre Dispositivos via código QR / Bluetooth), isto funcionava.

Ao investigar mais a fundo o problema e executar os dois comandos seguintes na consola do navegador para determinar se o autenticador de plataforma (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()) e a IU Condicional (PublicKeyCredential.isConditionalMediationAvailable()) estavam disponíveis, fizemos uma descoberta interessante: a primeira promessa retornou false, enquanto a segunda retornou true, o que não fazia sentido, pois os autenticadores de plataforma são necessários para que a IU Condicional funcione.

A partir do Chrome 129 (e de forma semelhante no Edge, que é baseado no Chromium), PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() retorna true mesmo no modo Anónimo / InPrivate no Windows 10. Anteriormente, este valor era false no modo anónimo. Apesar de agora retornar true, o autenticador de plataforma continua indisponível para criar novas passkeys, causando um fluxo de utilizador interrompido.

Abaixo está uma tabela que mostra os valores de retorno de PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() no Windows 10 em diferentes versões e modos do Chrome/Edge:

Comportamento Observado:

• No modo Anónimo do Chrome/Edge no Windows 10, apesar da promessa retornar true, o autenticador de plataforma não aparece para a criação de passkeys.
• Em vez disso, os utilizadores são solicitados a adicionar uma chave de segurança (por exemplo, YubiKey)
• Embora as chaves de segurança de hardware ainda funcionem para a criação de passkeys, este não é o fluxo esperado ao usar autenticadores de plataforma como o Windows Hello.

Impacto da Alteração: Isto efetivamente interrompe o fluxo para adicionar passkeys ao autenticador de plataforma no modo Anónimo/InPrivate. O ajuste no Chrome 129+ foi feito principalmente para permitir a funcionalidade de login com passkeys no modo Anónimo. Os fluxos de login usam o mesmo mecanismo de deteção para verificar o suporte a passkeys (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()), e esta alteração garante que os logins possam prosseguir sem problemas. No entanto, a consequência não intencional é a experiência interrompida para criar passkeys com o autenticador de plataforma nos modos de navegação privada.

Mais detalhes sobre esta alteração podem ser encontrados na Revisão do Código Fonte do Chromium e na discussão do rastreador de problemas associada. Para websites que visam fornecer suporte ideal para passkeys, detetar o modo anónimo é atualmente a única maneira de mitigar este problema. Ao identificar quando um utilizador está no modo Anónimo/InPrivate no Windows 10 com Chrome/Edge, os websites podem evitar preventivamente oferecer opções de autenticador de plataforma para a criação de passkeys.

Ao usar o Windows Hello como autenticador de plataforma, um pop-up de segurança aparece durante a criação da passkey no modo anónimo (no Chrome) / modo InPrivate (no Edge), alertando os utilizadores de que a passkey será armazenada e poderá ser usada mais tarde no modo de navegação não anónima (este comportamento foi testado no Windows 11 22H2). Considerando um dos casos de uso do modo anónimo, em que um utilizador quer criar uma conta sem deixar rasto de qualquer informação, este aviso faz sentido.

No Android e usando o modo anónimo (no Chrome) / modo InPrivate (no Edge), o comportamento é semelhante ao do Windows 11, pois é exibido um pop-up informativo que informa o utilizador que a passkey será guardada no gestor de palavras-passe e que qualquer pessoa com acesso ao gestor de palavras-passe também terá acesso à passkey.

Em resumo, as passkeys funcionam de forma fiável nos modos anónimo e privado na maioria dos principais navegadores e sistemas operativos, com algumas exceções específicas no Windows 10 para a criação de passkeys. Ao aproveitar as soluções da Corbado, os programadores podem implementar passkeys de forma eficiente, e os gestores de produto podem melhorar as experiências do utilizador sem comprometer a segurança.