Início
Sobre
Código aberto Aplicativos móveis Perguntas frequentes Migrando do Google Fotos Sobre a PixelUnion
Preços Blog
Central de Ajuda
Conta Immich Outros Contatar suporte
Get Started
Privacy

Adeus, senhas: o PixelUnion já suporta passkeys

PixelUnion Team
7 min read
#Passkeys #Security #2FA #Authentication #Account Security #Privacy #Password-Free
Adeus, senhas: o PixelUnion já suporta passkeys

As senhas são uma invenção dos anos 60. Foram criadas para um mundo em que os computadores ocupavam uma sala inteira e eram utilizados apenas por um punhado de cientistas. Hoje, uma pessoa comum tem mais de 100 contas online, e todos os anos milhares de milhões de credenciais ficam expostas através de violações de dados. A simples senha nunca foi concebida para isto, e isso nota-se.

Temos o prazer de anunciar que o PixelUnion já suporta passkeys: um método de autenticação moderno e fundamentalmente mais seguro. Sem senhas para memorizar, sem códigos SMS para digitar, e sem maneira de os atacantes roubarem o que nunca existiu para ser roubado.

O que é uma senha e qual é o problema?

Antes de explicar as passkeys, é útil entender o que torna as senhas tão problemáticas.

Quando crias uma senha num site, esse site guarda uma versão dela nos seus servidores. (Queres saber exatamente como funciona? Escrevemos sobre como o hashing de senhas funciona no nosso fornecedor de identidade.) Cada vez que inicias sessão, a tua senha viaja do teu dispositivo para o servidor, onde é comparada com o que está guardado. Isso significa que duas coisas são verdadeiras ao mesmo tempo: o teu segredo tem de ser partilhado, e outra pessoa é responsável por o manter em segurança.

Quando as empresas sofrem violações de segurança, e isso acontece constantemente, essas senhas guardadas podem vazar. Mesmo quando as empresas as armazenam com cuidado, atacantes determinados conseguem decifrar senhas fracas. E porque as pessoas reutilizam senhas em vários sites (algo completamente compreensível, pois quem consegue lembrar-se de 100 diferentes?), uma violação numa empresa pode alastrar a dezenas de outras.

Os ataques de phishing também exploram isto. Uma página de início de sessão falsa convincente pode levar-te a digitar a tua senha diretamente para as mãos de um atacante. Nem te apercebes que aconteceu.

O problema não está na negligência das pessoas. O problema é que a tecnologia está fundamentalmente defeituosa.

O que é uma passkey?

Uma passkey é um substituto da tua senha que funciona de uma maneira completamente diferente. E quando percebes a ideia central, é bastante elegante.

Em vez de uma palavra secreta que digitas, uma passkey é um par de chaves criptográficas: uma privada (guardada apenas no teu dispositivo) e uma pública (partilhada com o site). Imagina um cadeado e uma chave, mas em que nunca entregas a chave a ninguém. O site guarda o cadeado, o teu dispositivo guarda a chave, e o início de sessão acontece quando o teu dispositivo prova que consegue abrir esse cadeado, sem nunca enviar a chave em si.

Na prática, funciona assim: acedes à página de início de sessão do PixelUnion, premes um botão, e o teu telefone ou computador pede-te para confirmar com Face ID, Touch ID, Windows Hello ou o PIN do dispositivo. É só isso. Sem senha para digitar, sem código para receber por SMS.

As passkeys não podem ser roubadas por phishing, porque não há nenhum segredo para roubar. Mesmo que um atacante te leve a uma página de início de sessão falsa, a tua passkey simplesmente não funcionará lá: está criptograficamente ligada ao verdadeiro site pixelunion.eu.

O que torna as passkeys melhores na prática:

  • Nada para memorizar. O teu dispositivo gere completamente a autenticação.
  • Nada para roubar do servidor. O servidor do PixelUnion guarda apenas a tua chave pública, que é inútil para um atacante por si só.
  • Resistente a phishing por design. A tua passkey só funciona no verdadeiro pixelunion.eu, não em nenhum site falso, por mais convincente que pareça.
  • Sem problema de reutilização. Cada passkey é única por site, por isso uma violação noutro lugar não pode afetar a tua conta PixelUnion.

Como configurar uma passkey no PixelUnion?

A configuração demora cerca de um minuto:

  1. Inicia sessão na tua conta PixelUnion.
  2. Vai às definições de segurança da tua conta.
  3. Seleciona Adicionar uma passkey.
  4. Segue as instruções no teu dispositivo: o teu telefone, computador ou chave de segurança guiar-te-á.

Uma vez configurada, podes usar a tua passkey para iniciar sessão a partir de qualquer dispositivo compatível. A passkey pode ser sincronizada através do iCloud Keychain (em dispositivos Apple), do Google Password Manager (em Android/Chrome) ou do Windows Hello, consoante a tua configuração.

Se usas um gestor de palavras-passe como o 1Password ou o Bitwarden, estes também suportam passkeys e funcionam muito bem em múltiplas plataformas.

O que é a autenticação de dois fatores e por que deves usá-la?

As passkeys são um grande avanço. Mas já que estamos a falar de segurança de contas, há mais uma camada que vale a pena mencionar: a autenticação de dois fatores, ou 2FA.

A ideia por trás da 2FA é simples: para iniciar sessão, tens de provar duas coisas separadas. Normalmente significa algo que sabes (a tua senha) e algo que tens (o teu telefone, por exemplo). Mesmo que um atacante tenha a tua senha, não consegue iniciar sessão sem o teu segundo fator.

Pensa nisso como uma porta com fechadura e ferrolho. Uma fechadura pode ser forçada; duas é muito mais difícil.

Tipos de 2FA, do menos ao mais seguro:

  • Códigos SMS: um código enviado para o teu telefone por mensagem de texto. Melhor do que nada, mas vulnerável a ataques de troca de SIM, em que um atacante convence o teu operador a transferir o teu número para o dispositivo dele.
  • Aplicações de autenticação: apps como o Aegis (open-source, Android), o Raivo (iOS) ou o Google/Microsoft Authenticator geram códigos temporários no teu dispositivo. Significativamente mais seguro do que os SMS.
  • Chaves de segurança de hardware: chaves físicas USB ou NFC como uma YubiKey que ligas ou aproximas. Extremamente seguras, usadas por pessoas e organizações de alto risco.
  • Passkeys: como descritas acima, são o padrão de excelência: resistentes a phishing, ligadas ao dispositivo e sem fricção.

Mesmo que ainda não estejas pronto para mudar para passkeys, ativa uma aplicação de autenticação como segundo fator. Demora cinco minutos e torna a tua conta dramaticamente mais difícil de comprometer.

Por que isto é especialmente importante para as tuas fotos

A tua conta PixelUnion contém alguns dos teus dados mais pessoais: fotos de família, memórias, momentos privados. Ao contrário de uma conta de rede social em que uma violação pode resultar em publicações embaraçosas, uma conta de armazenamento de fotos comprometida pode expor imagens profundamente íntimas.

Isto não é hipotético. Contas do iCloud foram atacadas precisamente porque as pessoas guardam fotos íntimas lá. O armazenamento de fotos é um alvo de grande valor.

No PixelUnion, sempre levamos a segurança a sério: guardamos os teus dados em servidores europeus, sob a lei europeia, longe da vigilância das Big Tech e do alcance legal americano. Mas as garantias técnicas de privacidade são apenas parte da história. A segurança de início de sessão da tua conta é a porta de entrada, e merece o mesmo cuidado.

O que deves fazer hoje

Encorajamos todos os utilizadores do PixelUnion a dar dois passos:

  1. Configura uma passkey. É mais rápido, mais seguro, e nunca mais precisarás de lembrar uma senha para o PixelUnion. Inicia sessão e adiciona a tua agora →
  2. Ativa a 2FA. Se por alguma razão preferires continuar a usar uma senha, adiciona uma aplicação de autenticação como segunda camada de proteção. Encontrarás a opção em Definições da conta > Segurança.

Os dez minutos que investes nisto hoje podem poupar-te de uma situação que realmente não queres enfrentar.

No PixelUnion, acreditamos que manter as tuas memórias privadas requer mais do que apenas um servidor em conformidade com o RGPD. Requer segurança cuidadosa em cada camada: desde onde as tuas fotos são guardadas até como a tua conta é protegida. As passkeys são mais um passo nessa direção.

Protege a tua conta hoje →