ARPASS
→ Abrir o Arpass
ARPASS
→ Abrir o Arpass
"Passkey", "chave pública", "AES", "PWA"… o mundo da segurança está cheio de siglas. Aqui em linguagem simples, com as formas completas escritas e uma analogia do cotidiano onde for útil.
Um par de chaves. A chave pública é segura para compartilhar — pense nela como um cadeado que qualquer um pode usar. A chave privada é a única que abre esse cadeado, e você nunca a dá. Com esse par, pode trocar coisas com segurança sem nunca enviar a própria chave.
Uma forma de login sem senha. Uma chave vive dentro do seu celular, PC ou uma chave de segurança como uma YubiKey. Como você prova que é você depende do dispositivo — celulares e PCs usam impressão digital ou reconhecimento facial, enquanto uma YubiKey usa "toque no contato metálico" mais PIN se solicitado (nota: YubiKeys comuns não têm sensor de impressão digital). Nada para memorizar e muito difícil de aplicar phishing.
Os padrões que fazem as passkeys funcionarem em navegadores. Definem como um site pede ao navegador para "verificar este usuário com seu dispositivo ou chave". FIDO2 é a família mais ampla de especificações por baixo.
Uma forma de extrair "o mesmo valor secreto, mas único para esta chave" de uma YubiKey sob demanda. O Arpass usa isso para derivar uma chave de criptografia separada para cada YubiKey registrada.
Pedir uma verificação extra além de uma senha — um código no seu celular, um toque de YubiKey, etc. "Duas fechaduras na porta." MFA é o termo mais geral e significa dois ou mais fatores combinados.
Um código numérico descartável que muda a cada 30 segundos. Mesmo que roubado, expira rapidamente. Comumente usado para 2FA.
Criptografia transforma dados em algo ilegível usando uma chave. Descriptografia reverte com a chave. É isso.
O método de criptografia mais amplamente usado hoje. A mesma chave criptografa e descriptografa ("criptografia simétrica"). "AES-256" significa que a chave tem 256 bits — muito forte.
Ambos são métodos de criptografia de chave pública. RSA é o clássico de longa data (nomeado em homenagem aos três inventores). ECC é mais novo e usa chaves mais curtas para a mesma força, então está se tornando dominante em celulares e YubiKeys. A matemática é intrincada; você não precisa entendê-la para usar.
Transforma dados em uma string de "impressão digital" de tamanho fixo. A mesma entrada sempre produz a mesma impressão, mas você não pode reverter a entrada a partir dela. Usado para detectar adulteração e comparar itens.
Uma forma de produzir chaves específicas a propósito de maneira segura a partir de um segredo subjacente. A disciplina de não reusar o mesmo segredo diretamente para tudo.
Futuros computadores ultrapotentes que, em teoria, poderiam quebrar a cripto de chave pública atual (RSA, ECC). PQC é a próxima geração de cripto projetada para resistir a eles. Não é uma ameaça prática hoje.
Um pequeno dispositivo físico USB / NFC que guarda chaves de login. YubiKey é a marca mais conhecida. Como a chave fica fisicamente na sua mão, é muito forte.
Você a usa tocando no contato metálico, mais um PIN quando solicitado. YubiKeys comuns (séries 5 e Security Key) não têm sensor de impressão digital. (A Yubico também faz uma linha "YubiKey Bio" separada que tem impressão, mas é uma linha de produto diferente.)
Sem fio de alcance muito curto. O tipo de comunicação de "encoste seu celular numa YubiKey". Mesma família de tecnologia que cartões de transporte por aproximação.
Uma área isolada e dedicada dentro de um celular ou PC que armazena chaves com proteções extras. Seus dados de impressão / rosto e chaves de dispositivo vivem aqui e não saem. (Isso está embutido em celulares e PCs — não é a mesma coisa que uma YubiKey.)
Uma peça de hardware dedicada que cuida de chaves sem jamais deixá-las sair. Usado no lado servidor por bancos e grandes serviços.
Um padrão de longa data para criptografar e assinar e-mails e arquivos. Baseado no "PGP" original (Pretty Good Privacy). YubiKey pode guardar essas chaves.
Um padrão de verificação de identidade no estilo "cartão inteligente", originalmente para funcionários do governo dos EUA. Usado para login em PCs corporativos, entre outros. YubiKey suporta.
Uma forma de fazer um site se comportar como um app. "Adicionar à tela inicial" cria um ícone que lança o site em tela cheia. Não passa por loja de apps.
Um pequeno programa que roda em segundo plano para uma página web. Usado para suporte offline e para fazer um site qualificar como PWA.
Um pequeno "arquivo de configuração" para uma PWA. Lista o nome do app, ícones e como deve ser lançado. Permite que o navegador trate o site como app.
Uma forma de envolver um site em uma "casca de app" Android para que possa ser listado na Google Play.
Comprar bens digitais dentro de um app usando a cobrança da Apple / Google. Essas lojas pegam uma comissão.
Uma configuração de segurança que diz a uma página web "você só pode carregar scripts e imagens desses lugares". Ajuda a impedir que scripts maliciosos injetados sejam executados.
Um design onde o operador do serviço não pode ver (nem alcançar) o conteúdo dos seus dados. A criptografia acontece inteiramente no seu navegador; o operador só vê bytes criptografados. O Arpass usa esse design.
"Blockchain" é uma forma de armazenar dados de modo distribuído e muito difícil de alterar ou apagar. Arweave é um tipo específico de armazenamento blockchain onde o que você escreve fica escrito, permanentemente. O Arpass armazena seus dados criptografados aqui.
No Arpass, a chave mestra que realmente criptografa seus dados. A própria MEK é então envolvida (criptografada) pela sua senha, YubiKey e outros "fatores", então nunca fica nua.
O código de recuperação do Arpass. A forma de último recurso para recuperar se você perder todos os seus dispositivos e chaves. Impresso em papel e guardado com segurança. (O modo somente-YubiKey não usa Recovery Secret.)