Notícia
Meios mais seguros de autenticação preparam caminho para o fim das senhas
Após grandes fabricantes anunciarem mudança no padrão de autenticação de seus dispositivos, a longevidade das senhas e a criatividade dos usuários para criação de palavras-chave pode estar com os dias contados
Ao contrário do que muita gente pensa, a ideia de usuário e senha talvez não seja o meio de autenticação mais seguro. Segundo Eduardo Lopes, CEO e fundador da Redbelt Security, cada vez que é pedido a troca de senha, o mecanismo começa a ser fragilizado. Isso porque o usuário tende a criar senhas mais fracas, ou mais fáceis de serem lembradas, e que estejam ligadas a informações pessoais do seu dia a dia, o que acaba deixando rastros e abrindo brechas para que essas palavras-chave sejam exploradas como forma de acesso.
As senhas se tornaram uma grande evolução nos primórdios da internet, porém hoje já são vistas como potenciais vulnerabilidades, suscetíveis a golpes de phishing, vazamento de dados ou fraudes. Conforme divulgado pela Febraban (Federação Brasileira de Bancos), o Brasil registrou em 2021 um aumento de 80% nas tentativas de ataques de phishing para roubo financeiro. O mecanismo de phishing é utilizado para enganar usuários a fim de conseguir informações como número de cartão de crédito, senhas e outros dados pessoais.
Hoje, um hacker pode levar apenas alguns segundos para descobrir a senha numérica de seis dígitos com letras maiúsculas, minúsculas, números e símbolos. Essa mudança no cenário exigiu passwords maiores, mais sofisticadas e difíceis de memorizar.
De acordo com Lopes, há atualmente quatro principais tecnologias ou conceitos para um mundo sem senhas. A chave de segurança, que por aproximação ou USB, possui uma criptografia tipo FIDO (senha) que desbloqueia o aparelho; o acesso via biometria (impressão digital) muito usado por bancos, notebooks e caixas eletrônicos; o acesso via leitura facial, já adotado em smartphones e o acesso condicional, que reúne diversas tecnologias e meios para identificar o usuário – o múltiplo fator de autenticação.
Apesar de não tão difundido, o acesso condicional pode ser tido hoje como o meio mais eficiente de segurança de acesso. No primeiro login o sistema pede uma senha (pois não conhece o usuário). Ele identifica a máquina, modelo, fabricação e particularidades do acesso do usuário para que em próximos logins, o sistema também consiga identificar e analisar detalhes como horário, tipo de máquina do qual o login está sendo realizado, localização geográfica do usuário, entre outras informações sobre a experiência de registro.
Dessa forma, o acesso condicional cria um perfil do usuário e, por sua vez, uma relação de confiança para que o login passe a ser realizado. É um processo de construção/criação de um perfil. Pode ser que a senha expire, mas já não é mais necessário a utilização dela como se conhece.
Passwordless: tendência ou realidade?
Com o uso da biometria somada ao acesso condicional ou análise facial e acesso condicional, a partir do momento em que grandes empresas e plataformas conhecidas aderem a essa combinação, é possível se ter uma experiência sem senhas – ou cada vez mais próxima dessa realidade. O Gartner prevê que até o final de 2022 60% das empresas grandes e globais e 90% das empresas de médio porte implementarão o passwordless em mais de 50% dos casos de uso.
Hoje, a grande maioria das pessoas já experenciou algum tipo de contato com o passwordless. Isso porque a opção de “não solicitar a senha novamente” disponível em algumas aplicações já consegue garantir a identificação do usuário com as informações necessárias para um perfil pré-definido. Não, a senha não fica salva, mas a aplicação identifica o perfil, o dispositivo, a localização, o navegador e com essas informações é possível validar a experiência de registro.
“Aplicações já utilizam o acesso condicional, o único problema é a disseminação dela porque cada um, cada empresa, quer ter a sua base de perfil. E como eles não estão compartilhados em todos os lugares, o famoso single sign–on, ou autenticação única em vários sistemas de software relacionados, o passwordless ainda não consegue ser totalmente adotado”, explica Lopes.
O especialista aponta ainda que há grandes chances de importantes players se unirem para um padrão único de login em aplicações. Segundo Lopes, dificilmente haverá compartilhamento de dados entre empresas, porém, pode haver uma interação entre as informações de perfil colhidas, um caminho natural entre as empresas de tecnologia, o que deve facilitar bastante a vida do usuário final.
Mapeamento de perfil do usuário
Já existem sistemas capazes de traçar um perfil – buscando adotar o passwordless – com base na forma que o usuário pressiona a tela do celular. Trata-se de uma forma sofisticada para garantir de fato a identificação do usuário.
Da mesma forma, para o mapeamento do perfil do usuário são usados recursos de versionamento de hardware (para saber qual versão de dispositivo o usuário acessa determinada aplicação e o modelo desse dispositivo), versionamento do sistema operacional instalado (para identificar qual versão o dispositivo possui) e também geolocalização.
“Tenha certeza de que toda vez que uma pessoa abre o celular no modo automático ela tem um comportamento padronizado abrindo sempre determinados aplicativos. Seja de fotos, de mensagem ou alguma mídia social. Essa rotina de comportamento do usuário também está sendo mapeada, assim como seus hábito de horários. É justamente essa junção de comportamentos que permite a criação de um perfil de acesso que é quase que uma digital, única e segura”, finaliza Lopes.