A ideia é simples: permitir que você acesse determinados sites ou serviços online usando apenas uma chave USB, um aplicativo específico de login ou o leitor de impressões digitais do seu smartphone ou notebook, por exemplo. Sim, esses métodos de autenticação já existem, mas são usados em aplicações muito específicas, como internet banking. Com o WebAuthn, o número de sites que usam biometria ou hardware no lugar das senhas ou em complemento a estas pode aumentar consideravelmente. Isso porque o WebAuthn é uma API aberta desenvolvida pela World Wide Web Consortium (W3C) e a FIDO Alliance, organização apoiada por companhias como Microsoft, Google, Dropbox e Salesforce que foi criada justamente para promover tecnologias de autenticação práticas, seguras e com interoperabilidade. O WebAuthn tem suporte ao relativamente novo padrão de autenticação FIDO 2, que substitui senhas por credenciais que não podem ser violadas ou replicadas e, claro, permite o uso de biometria, hardware e afins para o login. Para Brett McDowell, diretor executivo da FIDO Alliance, o uso do WebAuthn deve ser um processo natural para os usuários. “Pessoas de todos os cantos já estão usando seus dedos e rostos para desbloquear celulares e PCs, então isso será natural para elas — e mais conveniente”, frisa.
McDowell se refere à possibilidade de o WebAuthn permitir que até sites pequenos ofereçam autenticação sem senha. Com isso, os usuários poderão usar o leitor de digitais do smartphone para acessar vários tipos de serviços, não apenas desbloquear o dispositivo ou fazer login no aplicativo do banco. É necessário garantir compatibilidade com os navegadores mais populares e, bom, isso já está sendo providenciado. Como já dito, o Firefox já suporta o WebAuthn, enquanto Chrome e Edge terão compatibilidade oficial nos próximos meses. O Opera também vai ter suporte. Com relação ao Safari, a Apple ainda não se manifestou a respeito, mas sabe-se que a companhia apoia o WebAuthn, o que indica que a compatibilidade deve vir, cedo ou tarde. Não dá para assegurar que o WebAuthn vai ser amplamente adotado ou que poderá mesmo acabar com as senhas. É conveniente que mais testes de segurança sejam feitos, por exemplo. Mas a proposta não deixa de ser interessante. Vale a pena acompanhá-la de perto. Com informações: The Verge, Motherboard.