Passkeys sem Biometria? Funciona?

Sim, as passkeys podem funcionar sem biometria usando autenticadores locais como PINs, padrões ou senhas do dispositivo. Estes métodos fornecem uma autenticação segura quando opções biométricas como reconhecimento de impressão digital ou facial não estão disponíveis. As passkeys dependem do autenticador local do dispositivo, que é configurado pelo utilizador e não é controlado pela parte confiadora (relying party).

---

As passkeys são baseadas no WebAuthn, um padrão para autenticação sem senha. Normalmente, as passkeys usam um autenticador local para verificação do utilizador. Quando a biometria, como o reconhecimento de impressão digital ou facial, não está disponível, o autenticador local fornece um método alternativo de autenticação.

Um autenticador local é um mecanismo no seu dispositivo que verifica a sua identidade. Os exemplos incluem (todos não biométricos):

• Códigos PIN - Um código numérico que introduz para desbloquear o seu dispositivo.
• Padrões - Um padrão de deslize desenhado num ecrã tátil.
• Senhas do dispositivo - Senhas alfanuméricas usadas para aceder ao dispositivo.
• Bloqueios de ecrã - Qualquer outro mecanismo que restrinja o acesso ao dispositivo.

1. Configuração do Utilizador: O utilizador configura o seu autenticador local no seu dispositivo.
2. Criação da Passkey: O dispositivo gera um par de chaves criptográficas durante a configuração da conta.
   • A chave privada é armazenada de forma segura no dispositivo.
   • A chave pública é partilhada com o serviço (parte confiadora ou relying party).
3. Autenticação: Quando o utilizador tenta iniciar sessão:
   • A parte confiadora (relying party) envia um desafio para o dispositivo.
   • O dispositivo usa a chave privada para assinar o desafio.
   • O autenticador local (por exemplo, PIN, padrão) verifica a identidade do utilizador antes de assinar.

• Acessibilidade: Permite que utilizadores sem dispositivos com capacidade biométrica usem passkeys.
• Segurança: Os autenticadores locais estão vinculados ao dispositivo e não podem ser intercetados remotamente.
• Controlo do Utilizador: Os utilizadores podem escolher o método com o qual se sentem mais confortáveis, aumentando as taxas de adoção.

Não, os programadores e as partes confiadoras (relying parties) não podem controlar diretamente o tipo de autenticador local utilizado. Isto é determinado pela configuração do dispositivo do utilizador. No entanto, os programadores podem desenhar fluxos de utilizador que expliquem claramente o processo e orientem os utilizadores a configurar um autenticador local, caso ainda não o tenham feito.

As passkeys sem biometria proporcionam inclusividade e flexibilidade. Nem todos os utilizadores têm acesso à mais recente tecnologia biométrica, mas ainda assim podem beneficiar da segurança e conveniência da autenticação sem senha através de alternativas como PINs e padrões.

---