O Dia Mundial da Senha deste ano, tradicionalmente comemorado em maio, coincidiu com notícias relacionadas de três grandes empresas de tecnologia: Google, Microsoft e Apple anunciaram planos para uma nova tecnologia para substituir as senhas.
O padrão está sendo desenvolvido pela FIDO Alliance, em conjunto com o World Wide Web Consortium (W3C), que basicamente define a aparência e o funcionamento da internet moderna. Esta é uma tentativa bastante séria de abandonar as senhas em favor da autenticação baseada em smartphone, ou pelo menos é assim que parece do ponto de vista do usuário.
Vale lembrar, no entanto, que a “morte das senhas” vem sendo debatida há cerca de uma década. E as tentativas anteriores de acabar com esse método irremediavelmente não confiável de autenticação do usuário não levaram a lugar nenhum – as senhas ainda estão conosco. Este artigo discute as vantagens do novo padrão FIDO/W3C. Mas vamos começar reafirmando o óbvio: o que há de errado com as senhas?
O problema das senhas
A desvantagem número um das senhas é que elas são bastante fáceis de roubar. Nos primórdios da internet, quando quase todas as comunicações entre computadores não eram criptografadas, as senhas eram transmitidas em texto simples. Com a proliferação de pontos de acesso à rede pública – em cafés, bibliotecas e no transporte – isso se tornou um problema real: um invasor poderia interceptar uma senha não criptografada sem ser notado.
Mas a questão das senhas roubadas explodiu no início e meados da década de 2010, após uma série de hacks de alto perfil em grandes serviços de internet, com o roubo em massa de endereços de e-mail e senhas de usuários. É seguro dizer que todas as suas senhas de dez anos atrás estão flutuando em algum lugar do domínio público. Não acredite em nós? Confira o serviço útil HaveIBeenPwned.
Hoje em dia, é claro, é menos provável que os vazamentos contenham senhas em texto simples: muitos serviços de Internet há muito perceberam que armazenar informações confidenciais do usuário não criptografadas é uma receita para o desastre. Portanto, está se tornando a norma que as senhas sejam criptografadas – ou seja, armazenadas em formato criptografado.
O problema aqui é que, se a senha for simples, ela ainda poderá ser extraída de um banco de dados criptografado forçando-se com força bruta todas as combinações possíveis ou por um ataque de dicionário . Descriptografar uma senha com hash se a original era algo como “segredo” ou “123123” é brincadeira de criança. Este é o segundo problema com as senhas: para ajudar na memorização, muitas pessoas usam senhas muito fracas que são fáceis de extrair de um banco de dados vazado — mesmo que criptografadas.
E o desejo de simplicidade e conveniência leva diretamente ao terceiro problema com senhas: usar a mesma senha para contas e serviços diferentes. Assim, um vazamento de dados de algum antigo fórum online, no qual você nem se lembra de se registrar, pode resultar na perda de sua conta de e-mail principal porque você usou a mesma senha.
Senha mais um pouco mais
O problema, é claro, está longe de ser novo, então a maioria dos serviços não depende mais de uma única senha, mas usa algum tipo de autenticação multifator. Ao fazer login em serviços de Internet, redes sociais, contas bancárias, etc., geralmente você é solicitado a fornecer um código único após inserir suas credenciais. Esse código é enviado em uma mensagem de texto ou entregue no aplicativo bancário em seu telefone ou em um aplicativo especial para autenticação de usuário multifator , como o Google Authenticator. Sistemas muito complexos usam uma chave de hardware inserida em uma porta USB do computador ou conectada ao seu smartphone via Bluetooth ou NFC.
Em alguns casos, você não precisa de uma senha. Por exemplo, quando você entra em uma conta da Microsoft, uma senha de uso único é enviada a você por email. Por padrão, o aplicativo de mensagens Telegram usa autenticação baseada em códigos únicos enviados em mensagens de texto, sem necessidade de senha (embora uma seja recomendada como medida de segurança adicional).
Na maioria dos casos, no entanto, as senhas ainda estão lá como uma forma de autenticação de backup. Mas confiar apenas em senhas baseadas em texto (de longe a forma mais comum e compreensível de 2FA) também não é uma boa ideia por vários motivos. Em suma, há muito se entende que o futuro não pertence às senhas. Agora, finalmente, parece que esse futuro está ao virar da esquina.
Autenticação sem senha conforme concebida pela FIDO/W3C
Para reduzi-lo ao mínimo, o novo padrão de autenticação sem senha torna a senha (ou melhor — passkey, que é um par de chaves de criptografia, privada e pública) um elemento puramente técnico que o usuário não vê mais. Isso permite o uso de chaves fortes e exclusivas e criptografia poderosa. Isso, por sua vez, torna a vida mais difícil para os ladrões cibernéticos e garante que, se uma conta for invadida, nenhuma outra será perdida e torna impossível divulgar o “segredo” para os phishers.
Para os usuários, parecerá que eles estão confirmando um login em uma rede social, conta de e-mail ou serviço de banco online em nosso smartphone. Será como fazer um pagamento por smartphone hoje: você desbloqueia o dispositivo por meio do PIN ou autenticação de rosto/impressão digital e confirma a “transação” – só que, em vez de pagar, você está acessando sua conta. Ao fazer isso, um desbloqueio bem-sucedido confirma que você é você. Soa bem!
Além disso, o padrão desenvolvido pela FIDO possui um recurso adicional na forma de autenticação Bluetooth em vários dispositivos. Por exemplo, o login da conta em um laptop é mais rápido se o dispositivo “enxergar” um smartphone confiável próximo. Este sistema de autenticação empolgante funcionará para a grande maioria dos usuários, exceto talvez aqueles que continuam a usar um telefone de botão por princípio. Com o apoio de três gigantes da internet, esse recurso deve se tornar universal no curto prazo. Então será bom para a segurança? Vejamos os prós e os contras da nova tecnologia.
Prós da autenticação sem senha
O suporte do Google, Apple e Microsoft dá motivos para acreditar que os dois principais serviços (Gmail, YouTube, iCloud, Xbox) e todos os dispositivos iOS, Android e Windows em breve começarão a migrar para a autenticação sem senha. Como o padrão é unificado e aberto, a autenticação deve funcionar de forma idêntica em qualquer dispositivo. Além disso, a opção de alternar de um dispositivo para outro é prometida. Trocou seu iPhone por um Samsung Galaxy? Não é um problema: você pode designar o novo smartphone como seu dispositivo de verificação de login.
O principal benefício do novo método é que ele complica seriamente o phishing. O roubo de senha tradicional funciona criando um banco falso ou outro site e atraindo a vítima para ele. Lá, o usuário insere suas credenciais de login (às vezes até o 2FA é contabilizado), e é isso – o invasor tem acesso à conta bancária. Além de autenticar o usuário, o novo padrão verifica a autenticidade do próprio serviço. Simplesmente enviar uma solicitação de autenticação no recurso da Web de outra pessoa não funcionará. Os vazamentos de senha também não representam uma ameaça para os usuários.
Por fim, o novo sistema promete ser simples e intuitivo. Se implementado corretamente, a substituição de senhas mesmo para contas existentes deve ser muito simples, e o prometido suporte no nível do sistema operacional em smartphones nem exigirá a instalação de nenhum aplicativo. Basta aceder ao site que pretende, introduzir o seu identificador e confirmar o pedido no seu smartphone. Tudo feito!
Problemas que ficar sem senha não vai resolver
A rigor, isso não deve ser considerado um problema, mas muitas pessoas certamente farão a pergunta: e se alguém colocar as mãos no meu smartphone “confiável” e aprovar o login em todas as minhas contas? A resposta é muito simples: em um modelo de segurança realista, não existem soluções inquebráveis. Qualquer coisa pode ser hackeada – a única questão é quais recursos o intruso está disposto a gastar com isso. Afinal, mesmo que você armazene suas senhas aleatórias de 128 caracteres exclusivamente em sua cabeça, existem maneiras comprovadas de extraí-las de você.
É provável que haja tentativas de hackear smartphones individuais para obter acesso às contas. Mas esses hacks serão individuais, direcionados a alvos de alto perfil, uma espécie de ataques de butique. Quando se trata de mercado de massa – isto é, ameaças cotidianas da vida real – o roubo de senhas é várias ordens de magnitude mais difundido do que roubar smartphones e fazer uso de seu conteúdo digital. E a nova tecnologia visa resolver esse problema preciso.
Lembre-se de que dúvidas semelhantes foram expressas sobre a introdução em massa da biometria. Naquela época, muitas pessoas estavam igualmente preocupadas com o fato de alguém roubar sua impressão digital (na versão mais hardcore, cortando o dedo) e desbloquear seu smartphone. Troy Hunt, criador do já mencionado HaveIBeenPwned, escreveu um artigo inteiro no ano passado sobre um tópico relacionado: em um modelo de segurança realista, a biometria é mais forte que as senhas.
Mas o verdadeiro problema que o acesso sem senha não resolverá é a perda do smartphone. Claro, o novo padrão possibilita a transferência do sistema de autenticação de um dispositivo para outro. A maneira mais fácil de fazer isso é quando você tem dois dispositivos – por exemplo, um telefone antigo e um novo. Se o telefone antigo for perdido, sem dúvida você terá que usar algum tipo de método de backup para provar que é você. Mas que tipo de método de backup pode ser esse ainda não está claro; provavelmente dependerá das configurações do serviço em questão.
Para concluir, vale a pena fazer a pergunta: o novo sistema não tornará os usuários mais dependentes da funcionalidade de suas contas que possuem com esse mesmo Google ou Apple? O bloqueio de uma conta do Google levará à perda de acesso a todos os recursos online em geral? Mesmo se assumirmos que o padrão é aberto, os sistemas operacionais de smartphones, para não mencionar a infraestrutura, são menos.
Um futuro perfeito
Mesmo um cético seria pressionado a argumentar que as senhas são melhores do que sem senha. O conceito de senha desatualizado há muito precisa de uma revisão. O padrão sem senha da FIDO promete esclarecer muitas coisas, mas muito também depende dos implementadores: Google, Apple, Microsoft, et al. Se eles acertarem, nossas vidas digitais se tornarão um pouco mais fáceis e seguras. Mas é improvável que aconteça da noite para o dia: as senhas estão tão arraigadas na internet de hoje que levará muitos anos para apagá-las completamente – mesmo com um novo sistema aprimorado instalado.
