.
nunca houve uma questão de que levaria anos para fazer a transição do mundo para longe das senhas. A tecnologia de autenticação digital, embora profundamente falha, é difundida e inveterada. Nos últimos cinco anos, porém, a associação da indústria de autenticação segura conhecida como FIDO Alliance tem feito um progresso real na promoção de “senhas”, uma alternativa sem senha para entrar em aplicativos e sites. E, no entanto, você provavelmente ainda usa muitas senhas todos os dias. Na verdade, você pode não ter nenhuma conta protegida por uma chave de acesso, apesar da ampla adoção da Microsoft, Google, Apple e muitos outros.
Na conferência de segurança RSA em São Francisco na próxima semana, Christiaan Brand, copresidente do grupo de trabalho técnico FIDO2 e gerente de produtos de identidade e segurança do Google, apresentará uma palestra sobre novos recursos e crescimento na adoção de senhas. Ele também planeja examinar os desafios atuais que as senhas enfrentam ao combater a inércia que as senhas acumularam ao longo de décadas – e o longo jogo de triturar lentamente o domínio da senha.
“O que quero destacar é até onde chegamos, mas quais problemas ainda permanecem sem solução”, diz Brand. “As senhas estão por toda parte e são ruins, mas todos estão acostumados com elas. Os usuários não querem ser surpreendidos e não gostam de mudanças. Portanto, é muito importante pensar nas senhas como um complemento. Precisamos empurrar os usuários para o que será mais fácil e seguro.”
No ano passado, diz Brand, a FIDO fez um progresso significativo ao lançar recursos para dar suporte à sua visão sem senha. A infraestrutura agora está pronta para fazer backup de senhas para que possam sincronizar entre dispositivos, obter serviços para solicitar senhas aos usuários em vez de sempre usar o nome de usuário e senha padrão e usar a detecção de proximidade baseada em Bluetooth para compartilhar a autenticação de chave de acesso entre dispositivos. Todos esses três pontos abordam os principais problemas de usabilidade que a FIDO decidiu publicamente melhorar há um ano.
Na prática, porém, ainda existem obstáculos e o desenvolvimento dessas soluções levou tempo. Por exemplo, Brand diz que o novo protocolo de detecção de proximidade baseado em Bluetooth foi cuidadosamente projetado para evitar os problemas de segurança que frequentemente afetam as implementações de Bluetooth. A ideia era retirar a maior parte da funcionalidade do Bluetooth e usar exclusivamente o protocolo para verificações de proximidade, em vez de qualquer transferência de dados. Essa abordagem permitiu que as chaves de acesso contornassem muitas das peculiaridades e problemas de confiabilidade do Bluetooth ao tentar emparelhar dispositivos.
No entanto, desenvolver uma “experiência do usuário” (UX) coerente para senhas em diferentes sistemas operacionais e serviços da Web é um desafio contínuo. Se você, digamos, fizer login em sua conta do Google a partir de um Mac usando senhas tradicionais, suas credenciais ainda serão verificadas em relação ao que o Google tem em arquivo para sua conta em um dos servidores da empresa. Mas os benefícios de segurança e resistência a phishing das senhas vêm do fato de que elas funcionam de maneira diferente. Se você usar uma chave de acesso para fazer login em sua conta do Google a partir de um Mac, a verificação criptográfica ocorre localmente e a Apple nunca está diretamente envolvida – tudo o que o usuário experimenta durante a interação é facilitado pelo macOS, não pelo Google.
.
