Publicado em 9 de setembro de 2024
Em junho de 2024, o Google se uniu à Aliança FIDO para realizar uma hackathon de chaves de acesso em Tóquio. O objetivo era oferecer aos participantes uma experiência prática com o desenvolvimento de chaves de acesso e a criação de protótipos de chaves de acesso para produtos reais, com funcionários do Google e da FIDO Alliance para dar orientações.
No evento, nove equipes se aprofundaram em chaves de acesso, e os jurados selecionaram os quatro projetos mais inovadores e impactantes.
Grande vencedor: equipe pkLock da Keio University SFC-RG (Keio University)
A equipe SFC-RG pkLock da Universidade Keio foi a única equipe nesta competição a aceitar o desafio de combinar dispositivos de IoT com chaves de acesso e até trouxeram uma impressora 3D.
O pkLock (pronunciado "pic-lock") tem como objetivo resolver o problema comum de entrega de chaves complicada para o Airbnb e outras acomodações particulares usando a chave de acesso para autenticação entre dispositivos.
O dispositivo criado consiste em um dispositivo de exibição de código QR instalado na parte externa da porta e um dispositivo de desbloqueio instalado na parte interna. Além do dispositivo, há um aplicativo da Web que os usuários usam para reservar e destravar. Os convidados podem destrancar a porta segurando a mão sob o dispositivo de exibição do código QR na frente da porta, lendo o código QR exibido com o smartphone e realizando a autenticação de chave de acesso (autenticação entre dispositivos).
Eles também prestaram atenção especial ao design de um dispositivo sofisticado que os anfitriões quisessem instalar nas acomodações. A abordagem abrangente deles, que também considera a possível adoção generalizada desses dispositivos, foi muito bem recebida pelos jurados.
Durante a apresentação, eles geraram muita empolgação no público ao abrir uma porta em miniatura que fizeram durante a hackathon. Para esta demonstração, o dispositivo exibiu um código QR contendo um URL com um token único que direciona os usuários a uma página de autenticação. No futuro, eles planejam implementar transportes híbridos no dispositivo para permitir o desbloqueio direto. Eles ganharam a hackathon por esforços pioneiros na exploração das possibilidades de usar chaves de acesso em dispositivos IoT.
FIDO Award 1: SKKN (Universidade Waseda)
O SKKN é um grupo de pesquisa da Universidade Waseda, especializado em estudos de privacidade. A equipe apresentou um caso de uso muito avançado de chaves de acesso, combinando-as com tecnologias emergentes: credenciais verificáveis (VC) e prova de conhecimento zero. Como as credenciais verificáveis e a prova de conhecimento zero estão em destaque na identidade soberana e na identidade descentralizada (SSI/DID), a apresentação dele atraiu muita atenção dos jurados da hackathon e de outros participantes.
As credenciais verificáveis (VCs, na sigla em inglês) são certificados digitais que comprovam informações do usuário, como nome, afiliação e endereço. Se o titular (carteira) que armazena e gerencia os VCs for vulnerável, os VCs poderão ser roubados por outras pessoas, e outras pessoas poderão se passar pelo usuário apresentando o VC. Além de permitir que apenas o usuário que tem a credencial FIDO apresente o VC, eles desenvolveram um método que permite que apenas serviços de carteira confiáveis processem VCs.
A implementação deles mostrou várias vantagens:
- Ao vincular e emitir VCs e credenciais do FIDO, apenas o proprietário do FIDO pode usar os VCs.
- Somente carteiras confiáveis pelo emissor e pelo verificador podem ser usadas.
- Com as chaves de acesso, os VCs e as carteiras podem ser armazenados em backup e recuperados, e os usuários podem recuperar os dados mesmo se perderem o dispositivo.
FIDO Award 2: TOKYU ID (Tokyu)
A equipe URBAN HACKS, também conhecida como equipe TOKYU ID, da Tokyu Corporation, recebeu o prêmio FIDO por adotar chaves de acesso inovadoras para o ID TOKYU. O Grupo Tokyu é um grande conglomerado japonês com uma ampla gama de empresas focadas em transporte e desenvolvimento urbano.
O TOKYU ID foi criado para simplificar as interações do dia a dia, como viagens de trem. Reconhecendo a importância da experiência do usuário, a equipe implementou o login de chave de acesso em fevereiro de 2024 para resolver possíveis problemas, como perder um trem devido a atrasos na autenticação de dois fatores em serviços de venda de passagens digitais fornecidos por um aplicativo da Web.
Eles participaram dessa hackathon para validar a visão do TOKYU ID. O cenário ideal deles é que todos os usuários se registrem e façam login com chaves de acesso, além de uma recuperação de conta simples. Para isso, eles se concentraram em duas implementações principais na hackathon: ativar o registro de chaves de acesso durante o processo inicial de inscrição de membros e introduzir o login social para recuperação de conta. De forma única, após a recuperação pelo login social, os usuários só podem registrar uma chave de acesso, o que destaca o compromisso da equipe com um design focado em chaves de acesso. Eles também integraram o FedCM para melhorar a experiência do usuário nos processos de vinculação de contas.
A abordagem centrada em chaves de acesso da equipe do TOKYU ID demonstrou um profundo entendimento das necessidades dos usuários e dos requisitos do produto. Na hackathon, eles implementaram a solução e fizeram uma apresentação interessante, que ganhou o prêmio FIDO. Eles integraram o Login do Google sem usar o SDK do GIS com apenas JavaScript simples usando o FedCM.
Prêmio Google: equipe Nulab (Nulab)
A Nulab é uma empresa de software que oferece serviços como Backlog, Cacoo e Nulab Pass. Eles têm várias soluções de autenticação de dois fatores (chaves de segurança, OTP por SMS, OTP por e-mail, TOTP) e WebAuthn em todos os serviços. A Nulab foi uma das primeiras a adotar o WebAuthn e oferece suporte total a chaves de acesso desde outubro de 2023.
Eles implementaram oito novos recursos:
- Um cartão de chaves de acesso
- Conteúdo introdutório sobre chaves de acesso
- Recompensas para quem adotar chaves de acesso
- Assistência para recuperar a conta sem problemas
- Botão "Fazer login com uma chave de acesso"
- 2FA obrigatória para usuários de chaves de acesso
- Remoção de senhas e promoção de chaves de acesso em vazamentos de credenciais
- Promover chaves de acesso ao redefinir uma senha
Eles demonstraram a assistência para uma recuperação de conta tranquila na hackathon: a ideia era incentivar o usuário com uma ação adicional ao adicionar uma chave de acesso. Se a chave de acesso adicionada estiver vinculada ao dispositivo, recomende que o usuário adicione outra chave de acesso de outro gerenciador de senhas. Se a chave de acesso adicionada for sincronizada, recomende que o usuário remova a senha.
Eles também implementaram recompensas para usuários que adotarem chaves de acesso com destaque do ícone da conta do usuário. Quando o usuário adota uma chave de acesso vinculada ao dispositivo, o ícone começa a girar. Quando o usuário adota uma chave de acesso sincronizada, o ícone começa a piscar. Como essa é uma ferramenta empresarial, ela motiva os usuários a se destacar na empresa adotando chaves de acesso.
Os jurados ficaram impressionados com as ideias criativas para melhorar a implementação da chave de acesso e, em particular, como os usuários podem recuperar a conta.
Mais projetos interessantes
Todas as equipes na hackathon tiveram ideias interessantes, e aqui está um resumo dos projetos:
- Nikkei ID (Nikkei): chaves de acesso implementadas no OpenID Connect, reduzindo a fricção do usuário.
- Dentsu Soken (link em japonês):combinou chaves de acesso com o Login do Google para uma integração perfeita do usuário.
- SST-Tech (Secure Sky Technology): emulação de chave de acesso para avaliações de segurança.
- Ajitei Nekomaru (Universidade de Keio): introduziu a autenticação de chave de acesso em um SGA de código aberto.
- MyLIXIL (LIXIL): foi possível implementar chaves de acesso como um método de autenticação para MyLIXIL.
Para mais detalhes sobre cada projeto, confira o relatório completo da hackathon de chaves de acesso de Tóquio.
Pontos principais e futuro
Durante a hackathon, os participantes compartilharam feedback e perguntas valiosas, destacando o entusiasmo com as chaves de acesso e as áreas que precisam de melhorias. Confira algumas das principais conclusões da hackathon:
- Há um interesse crescente em combinar chaves de acesso com outras tecnologias, como credenciais verificáveis e provas de conhecimento zero.
- A experiência do usuário continua sendo a principal prioridade, e as equipes estão focadas em tornar as chaves de acesso ainda mais fáceis de usar e adotar.
- O hackathon destacou o potencial das chaves de acesso para além dos logins tradicionais, em áreas como IoT e identidade digital.
O evento foi um sucesso, gerando novas ideias e colaborações. À medida que as chaves de acesso são adotadas em maior escala, eventos como esse são essenciais para impulsionar a inovação e resolver desafios.
É um momento empolgante para as chaves de acesso, e a hackathon de Tóquio é a prova de que os desenvolvedores estão ansiosos para ultrapassar os limites do que é possível.