Rsa: não há mais senhas, nunca?

O Google declarou guerra às senhas, mas Alisdair Faulkner, diretor de produtos e co-fundador da ThreatMetrix, acha que está travando uma guerra errada. "A idéia é louvável", disse Faulkner. "De fato, a maioria das pessoas usa a mesma senha simples repetidamente. O Google propõe um autenticador físico. O problema é que qualquer tipo de esquema de dois fatores precisa ser adotado pelos sites e pelos usuários. E se você perder o autenticador, o que então? " Ele também apontou o problema de autenticar um usuário durante a inscrição inicial.

O ThreatMetrix propõe uma solução diferente, que não requer nenhum esforço por parte do usuário. "Nós (e muitos outros) acreditamos que precisamos tornar a segurança parte padrão de cada operação", disse Faulkner. "Deve ser passivo, não intrusivo. A combinação de seus comportamentos e dispositivos em várias interações pode servir para identificar você e apenas você".

Comportamento desviante

Os bancos identificam transações suspeitas observando desvios dos padrões normais. O ThreatMetrix aplica o mesmo tipo de lógica à autenticação online. Eles não sabem necessariamente nada sobre você pessoalmente, mas sabem, por exemplo, que uma conta de email específica normalmente se conecta a partir de três dispositivos específicos, geralmente na Califórnia. Se essa conta de repente começar a se conectar várias vezes ao mesmo tempo, a partir de dispositivos desconhecidos, talvez na China, isso é uma bandeira vermelha.

"Bancos, sites de comércio eletrônico e algumas das maiores empresas de tecnologia usam o ThreatMetrix", disse Faulkner. "Eles observam sinais de aquisição de conta e fraude no cartão de crédito e o usam para validar novas matrículas". Ele enfatizou que a empresa procura estritamente padrões nos dados, não nas informações pessoais de ninguém.

Onde todos sabem seu nome

Isso faz muito sentido para mim. Quando ando pela conferência da RSA, as pessoas que me conhecem dizem "Olá!" E as pessoas que não conferem meu crachá. Se uma jovem atraente usasse meu distintivo, ninguém acreditaria que ela sou eu; o crachá não é minha identidade. Não preciso digitar uma senha para entrar na sala de imprensa; eles sabem quem eu sou. O plano ThreatMetrix estende o conhecimento de quem você é no ciberespaço.

Perguntei a Faulkner, e os falsos positivos? Muitos de nós sofremos retenções por cartão de crédito porque fizemos uma compra em um local incomum. O ThreatMetrix não pôde bloquear erroneamente meu acesso, digamos, a um site bancário? "Nós fornecemos o contexto", respondeu ele, "mas não somos os executores. O site pode decidir rejeitar a transação ou sujeitá-la a um exame extra. A menos que seja flagrantemente fraudulento, eles provavelmente não a negarão completamente".

O setor bancário já usa técnicas semelhantes para sinalizar transações potencialmente arriscadas. Eu posso ver totalmente estendendo esse modelo para autenticação de site. Obviamente, isso só pode acontecer com participação quase universal. Se esse objetivo elevado for alcançado, talvez nunca mais tenhamos que lembrar de uma senha como 8l3yO5JgtxIC ou CorrectHorseBatteryStaple.

Para ver todas as postagens de nossa cobertura da RSA, consulte a página Mostrar relatórios.