Vídeo: INTRODUÇÃO À AUTENTICAÇÃO FIDO (Novembro 2024)
Poderia a era da senha estar atrás de nós? Foi isso que Michael Barrett, diretor de segurança do PayPal, previu durante uma das palestras mais interessantes do programa Interop desta semana em Las Vegas.
Barrett disse que as senhas são amplamente utilizadas desde 1961, mas a prevalência de serviços em nuvem nos deixou com muitos sites que exigem senhas. As pessoas têm muitas senhas e, portanto, ficam frustradas. Como resultado, ele disse: "As senhas estão começando a falhar".
Quando deixados para seus próprios dispositivos, os usuários escolhem senhas ruins e as usam em qualquer lugar. Isso significa que a segurança da conta mais importante é reduzida à do local menos seguro em que essa senha é usada. Enquanto isso, a disponibilidade de poder de processamento barato na nuvem, incluindo GPUs, tornou mais fácil para as pessoas decifrar hashes de senha.
Uma alternativa - sistemas de dois fatores com chave de senha - ele disse que é "o sonho de um regulador, mas o pesadelo de um usuário", pois cada site pode ter seu próprio sistema de token seguro.
Como resultado, precisamos de outra coisa e é aí que a Aliança FIDO entra. Os usuários querem algo que seja fácil e seguro, disse Barrett. Qualquer solução deve fornecer autenticação mais forte, mas deve ser mais fácil de usar e, no entanto, respeitar a privacidade das pessoas.
A aliança está em operação há mais de dois anos e as primeiras soluções estão prestes a ser lançadas.
Com o modelo atual, as senhas são inseridas em um dispositivo e depois passadas pelo dispositivo para o serviço na outra extremidade. No modelo FIDO, os usuários se autenticam com um pequeno número de dispositivos e, em vez disso, se autenticam no dispositivo. Uma pilha FIDO no dispositivo sabe como autenticar novamente no serviço. As informações para a conexão podem ser armazenadas no chip TPM em um PC ou em um contêiner seguro em um smartphone.
Para se autenticar com o dispositivo, você pode usar uma impressão digital. Barrett sugeriu que a Apple pode lançar um leitor de impressões digitais em um smartphone ainda este ano, com dispositivos Android em breve. Os dispositivos também podem usar "biometria de voz" (uma impressão de voz), reconhecimento de olhos ou reconhecimento facial. Sites individuais podem solicitar um ou mais desses significantes que desejam aceitar.
Para que esse plano funcione, seria necessário que ambos os dispositivos suportassem o padrão e os serviços que aceitam autenticação FIDO. Barrett disse que o PayPal está no processo de se tornar habilitado para FIDO. Quando um site é ativado, se houver um cliente FIDO, ele é usado; caso contrário, será ignorado.
Mesmo que ele ache que as senhas estão ficando sem vapor, Barrett reconheceu que levará vários anos para começarmos a ver uma adoção em massa real. As chances são de apenas "50/50 se conseguirmos", disse ele.
Mas, dado o número de hackers de senha que continuamos lendo e as frustrações que todos enfrentamos com nossas senhas atuais, não há como negar que muitos de nós querem algo melhor.