Índice:
- O que está impedindo a autenticação sem senha?
- Os federais vêm batendo
- Entrando na mesma página
- Quando as senhas finalmente desaparecerão?
Vídeo: CELULAR QUEBROU A TELA!! O QUE FAZER??? PARTE 01 (Outubro 2024)
Em 2012, Matt Honan, da Wired , escreveu sobre as conseqüências desastrosas de amarrar toda a sua vida digital a uma série de letras, dígitos e símbolos. Honan é apenas uma das inúmeras pessoas cujas contas on-line foram invadidas depois que os hackers descobriram suas senhas; a lista de vítimas também contém executivos de tecnologia de alto nível, incluindo Mark Zuckerberg.
E, no entanto, as senhas continuam sendo o principal método de proteção de contas online.
Não houve pouca inovação no espaço de autenticação. Em 2016, escrevi sobre tecnologias de autenticação que forneciam alternativas seguras e fáceis de usar às senhas, mas até recentemente, nenhuma havia conseguido adoção em massa.
Agora, porém, há esperança de que possamos finalmente descartar senhas longas e complexas, graças a uma série de regulamentos e padrões abertos que facilitam e incentivam a implementação de métodos de autenticação sem senha em aplicativos on-line.
O que está impedindo a autenticação sem senha?
"O grande número de senhas necessárias em nossas vidas diárias se tornou um fardo, e é por isso que vemos tantas credenciais estáticas reutilizadas ou fracas", diz Stina Ehrensvard, CEO e fundadora da Yubico, que fabrica chaves de segurança física como a NFC Yubikey 5. "Precisávamos pensar em como resolver esse problema de uma maneira que simplifique o processo de login e adicione o mais alto nível de segurança. Até agora, não havia realmente uma maneira de fazer as duas coisas com êxito".
As vulnerabilidades das senhas não são perdidas nas organizações que continuam a usá-las. Porém, antes de considerar alternativas, eles devem levar em consideração a segurança, usabilidade, disponibilidade e custos da tecnologia.
"A razão pela qual não substituímos senhas até agora por algo mais confiável é que todas as alternativas que podem ter sido melhores em termos de segurança ou usabilidade não estão disponíveis onipresentemente para todas as formas e tamanhos de dispositivos conectados à Internet, nem custam ", diz Brett McDowell, diretor executivo da FIDO Alliance, um consórcio que desenvolve padrões de autenticação.
Além disso, a entrada de senha é a tecnologia de autenticação mais barata e fácil de implementar em novos sites e aplicativos móveis. E enquanto alternativas como a tecnologia de autenticação biométrica se tornaram mais amplamente disponíveis em dispositivos móveis, a entrada de senha continua sendo o recurso onipresente que todos os dispositivos suportam. Removê-lo impediria muitos usuários de acessar esses serviços.
A falta de padrões também dificulta o afastamento das senhas. O custo indireto de adicionar suporte a dezenas de diferentes tecnologias de autenticação em aplicativos clientes e servidores back-end é algo que a maioria das organizações não suportava.
E, claro, sempre há o fator humano. "Algumas empresas e indivíduos continuam acreditando que não serão afetados por ataques cibernéticos e que não são do interesse dos cibercriminosos. A falta de desejo e recursos para mudar as soluções existentes está dificultando a adoção de novas soluções de autenticação sem senha", diz Alex. Momot, CEO da REMME, uma startup que desenvolve um sistema de autenticação descentralizado.
Os federais vêm batendo
Nos últimos anos, houve um aumento na conscientização em torno da segurança e privacidade on-line dos usuários, especialmente entre órgãos governamentais e reguladores. Enquanto anteriormente, as organizações poderiam ter evitado violações de dados e incidentes de segurança com poucas consequências jurídicas e financeiras, esse não é mais o caso.
"Os reguladores estão tão cansados das manchetes de violação de dados quanto qualquer outra pessoa e estão começando a agir, resultando em mais empresas adicionando autenticação forte às suas práticas de proteção de dados", diz McDowell.
Entre as ações regulatórias mais relevantes está o Regulamento Geral de Proteção de Dados (GDPR), um conjunto de regras que definem como as empresas coletam, manipulam e protegem os dados do usuário. O GDPR também define padrões para autenticação forte do usuário. As empresas que não cumprirem as regras e protegerem os dados de seus clientes serão multadas severamente. O GDPR se aplica apenas à jurisdição da UE, mas, como muitas empresas que não estão sediadas na UE ainda fazem negócios na região, agora é considerado um padrão de ouro para a segurança.
"No momento em que mais e mais empresas adotam autenticação forte e mais e mais violações de dados são causadas por comprometimento de senha, será cada vez mais difícil para uma empresa defender o regulador do GDPR de que a autenticação somente por senha é segurança apropriada, potencialmente expondo sua empresa a multas muito mais caras do que o preço de passar de senhas para autenticação forte e verdadeira ", diz McDowell.
Outros regulamentos específicos do setor são mais explícitos sobre o uso da tecnologia de autenticação. Um exemplo é a Diretiva de serviços de pagamento 2 (PSD2), que regula o comércio eletrônico e os serviços financeiros on-line na Europa e torna obrigatória a autenticação de dois fatores (2FA). O PSD2 também incentiva o uso de cartões de segurança, dispositivos móveis e scanners biométricos para melhorar a experiência do usuário sem comprometer a segurança.
E o Instituto Nacional de Padrões e Tecnologia (NIST), que define os critérios para várias indústrias, declara em suas diretrizes de identidade digital que as organizações devem se afastar de senhas e códigos de uso único e adotar uma autenticação forte e moderna.
"Mais especificamente, o NIST recomenda a autenticação na qual seu dispositivo moderno cria e usa chaves privadas criptográficas como suas novas credenciais de conta e as armazena com segurança em seu dispositivo pessoal da mesma maneira que a maioria dos smartphones agora armazena com segurança seus dados de impressão digital", diz McDowell.
Há um debate sobre se a regulamentação do governo dificultará ou incentivará a inovação. Mas, neste momento, podemos precisar de um impulso regulatório para a adoção de mecanismos de autenticação mais seguros.
"Os governos podem desempenhar um papel crítico na adoção de padrões abertos", diz Ehrensvard. "Dê uma olhada no cinto de segurança, por exemplo. Também é um padrão aberto, e seu uso foi regulamentado pelo governo. Por esse motivo, existem 10 vezes mais carros na estrada hoje, mas um número total menor de acidentes fatais.."
Entrando na mesma página
A substituição generalizada da autenticação somente por senha precisa mais do que regulamentos. Sem um conjunto de protocolos padrão, as organizações e as empresas se esforçam para encontrar uma tecnologia de autenticação que os mantenha alinhados com os regulamentos de segurança ao disponibilizar seus aplicativos aos usuários.
Esse foi o problema que a FIDO estava decidido a resolver. A autenticação da FIDO é baseada em um conjunto de padrões de tecnologia gratuitos e abertos, desenvolvidos em parceria com o World Wide Web Consortium (W3C). O objetivo é criar interoperabilidade entre dispositivos e serviços, permitindo que toda a indústria de eletrônicos de consumo integre a tecnologia em seus produtos e plataformas.
O FIDO substitui senhas por criptografia de chave pública. Isso significa que, em vez de senhas, os usuários são identificados com um par de chaves públicas e privadas. Qualquer coisa criptografada com uma chave pública pode ser descriptografada apenas por sua chave privada correspondente. Quando um usuário se inscreve em um serviço online que suporta autenticação FIDO, o serviço gera um par de chaves e armazena a chave pública em seus servidores. A chave privada é armazenada apenas no dispositivo do usuário. Ao efetuar login, o aplicativo cliente recebe um desafio criptográfico gerado com a chave pública, que pode ser resolvida apenas pela chave privada. Os usuários devem verificar sua identidade com o dispositivo (por meio de impressão digital, face ou PIN) para desbloquear sua chave privada e resolver o desafio.
A vantagem deste modelo é que ele fornece autenticação multifatorial sem exigir o armazenamento e a troca de senhas. Mesmo que os hackers consigam violar os servidores do provedor de serviços, eles terão acesso apenas a chaves públicas, que são inúteis sem as chaves privadas correspondentes armazenadas nos dispositivos dos usuários. Se os hackers roubarem o dispositivo de um usuário, eles ainda precisarão ignorar a verificação de identidade local para obter a chave privada. Do ponto de vista do usuário, isso evita a necessidade de memorizar senhas longas e complexas para cada conta, proporcionando segurança superior.
Mas a maior conquista da FIDO está recebendo amplo apoio da indústria de tecnologia. A aliança reuniu grandes nomes como Google, Microsoft, Amazon e Intel para desenvolver padrões que seriam fáceis de implementar em diferentes tipos de dispositivos e sistemas operacionais.
"As empresas que se uniram para formar a FIDO Alliance entendiam que a substituição de senhas para autenticação on-line só poderia se tornar comercialmente viável em escala através de uma combinação de padrões de tecnologia gratuitos e abertos, uma experiência de usuário muito superior e uma abordagem fundamentalmente diferente do modelo de segurança. ", Diz McDowell.
A FIDO lançou recentemente o FIDO2, uma extensão de seu padrão que adiciona suporte à autenticação de chave pública para navegadores e uma ampla variedade de estruturas de aplicativos. O padrão é suportado pelo Windows 10, Google Play Services no Android e pelos navegadores Chrome, Firefox e Edge. O WebKit, a tecnologia por trás do navegador Safari da Apple, também poderá adicionar suporte ao FIDO2 em breve.
"O padrão FIDO2 permite a substituição de autenticação fraca baseada em senha por autenticação forte baseada em hardware que utiliza criptografia de chave pública", diz Ehrensvard, cuja empresa Yubico está entre os principais membros da FIDO. "Esse padrão permite autenticação sem senha de várias formas, incluindo via USB e NFC de toque e uso, que fornece uma ótima experiência ao usuário e melhora drasticamente a segurança e a produtividade".
Quando as senhas finalmente desaparecerão?
Embora o setor tenha percorreu um longo caminho no desenvolvimento de métodos alternativos de autenticação, as senhas não desaparecerão da noite para o dia. "Devemos levar em conta que temos muitos softwares e sistemas de informação 'legados'. É por isso que nem sempre é possível alterar facilmente as regras de autenticação estabelecidas, incluindo aquelas baseadas em senha", diz Momot, executivo-chefe da REMME.
Outros especialistas, como Sandor Palfy, CTO do LogMeIn, acreditam que as senhas continuarão sendo uma faceta central para a identificação de usuários. Ele também acredita que o setor deve se concentrar em melhorar a experiência da senha.
- Os melhores gerenciadores de senhas de 2019 Os melhores gerenciadores de senhas de 2019
- Qual é a senha? Tocar música e fazer login via Brainwaves Qual é a senha? Tocar um pouco de música e entrar via Brainwaves
- E-mails pornô Bogus usando senhas antigas para enganá-lo sem dinheiro E-mails pornô Bogus usando senhas antigas para enganá-lo sem dinheiro
"Até que a cobertura universal com autenticação multifatorial (ou mesmo autenticação comportamental ou contextual) esteja disponível, as empresas precisam investir no fortalecimento dos serviços protegidos por senha em uso em toda a organização", diz Palfy.
"Lembrar senhas únicas e complexas para todo o trabalho e contas pessoais não se alinha ao comportamento humano natural. Ao usar ferramentas como gerenciadores de senhas, lembrar várias senhas deve ser uma coisa do passado, pois os usuários precisam apenas lembrar uma senha mestre, "diz Palfy, cuja empresa é a desenvolvedora do gerenciador de senhas LastPass.
Mas para McDowell, que está no comando da FIDO desde 2014, a busca por erradicar senhas está finalmente chegando aos estágios finais. "Hoje, o futuro sem senha está se tornando realidade, um aplicativo por vez. Dentro de alguns anos, espero que os formulários de entrada de senha sejam tão raros de serem encontrados nas páginas da Web quanto as cabines telefônicas públicas estiverem em espaços públicos hoje em dia, e para o mesma razão - temos uma alternativa onipresente e econômica que oferece uma experiência de usuário muito melhor ", diz ele.
