Um futuro sem senhas

Vamos ver como o Google, a Microsoft e a Apple podem trabalhar juntos para acabar com as senhas.

O Dia Mundial das Senhas deste ano, tradicionalmente comemorado em maio, coincidiu com notícias relacionadas às três grandes empresas de tecnologia: Google, Microsoft e Apple anunciaram planos para uma nova tecnologia de substituição de senhas.

O padrão está sendo desenvolvido pela FIDO Alliance, em conjunto com o World Wide Web Consortium (W3C), que basicamente define a aparência e o funcionamento da internet. Esta é uma tentativa bastante séria de abandonar as senhas em favor da autenticação baseada em smartphone, ou pelo menos é o que parece, do ponto de vista do usuário.

Vale lembrar, no entanto, que a “morte das senhas” já é discutida há cerca de uma década. E as tentativas anteriores de acabar com esse método irremediavelmente não confiável de autenticação do usuário não levaram a lugar nenhum – as senhas ainda estão entre nós. Este artigo discute as vantagens do novo padrão FIDO/W3C. Mas vamos começar reafirmando o óbvio: o que há de errado com as senhas?

O problema com as senhas

A primeira desvantagem das senhas é que elas são bastante fáceis de roubar. Nos primórdios da internet, quando quase todas as comunicações entre computadores não eram criptografadas, as senhas eram transmitidas em simples textos. Com a multiplicação de pontos públicos de acesso à rede – em cafés, bibliotecas e transportes – isso se tornou um problema real: um invasor poderia interceptar uma senha não criptografada sem ser notado.

Mas a questão das senhas roubadas explodiu no início e meados da década de 2010, após uma série de hacks de alto nível em grandes serviços de internet, com o roubo em massa de endereços de e-mail e senhas de usuários. É seguro dizer que todas as suas senhas de dez anos atrás estão por aí, flutuando em algum lugar de domínio público. Dúvida? Confira o útil serviço HaveIBeenPwned.

Checando uma antiga senha no HaveIBeenPwned

HaveIBeenPwned permite que você cheque se suas senhas foram vazadas. Caso ela tenha mais de uma década de vida, a resposta provavelmente é sim


Hoje em dia, é claro, é menos provável que os vazamentos contenham senhas em textos simples: muitos serviços de Internet já perceberam que armazenar informações confidenciais do usuário não criptografadas é uma receita certa para o desastre. Portanto, tem sido uma norma que as senhas sejam criptografadas – ou seja, armazenadas de forma criptografada.

O problema aqui é que, se a senha for simples, ela ainda poderá ser extraída de um banco de dados criptografado com ataques de força bruta de todas as combinações possíveis, ou por um ataque de dicionário . Descriptografar uma senha codificada na qual a original seja algo “segredo” ou “123123” é brincadeira para criança. Este é o segundo problema com as senhas: para ajudar na memorização, muitas pessoas usam senhas muito fracas que são fáceis de extrair de um banco de dados vazado — mesmo que criptografadas.

E o desejo de simplicidade e conveniência leva diretamente ao terceiro problema com senhas: usar a mesma senha para contas e serviços diferentes. Assim, um vazamento de dados de algum antigo fórum online, no qual você nem se lembra de ter se registrado, pode resultar na perda de sua conta de e-mail principal porque você usou a mesma senha.

Difícil decorar tantas senhas não é?

Senhas com algo a mais

O problema, é claro, está longe de ser novo, então a maioria dos serviços não depende mais de uma única senha, mas usa algum tipo de autenticação multifator. Ao fazer login em serviços de Internet, redes sociais, contas bancárias, etc., você geralmente é incentivado a fornecer um código único após inserir suas credenciais. Esse código é enviado em uma mensagem de texto ou entregue no aplicativo bancário em seu telefone ou em um aplicativo especial para autenticação de usuário multifator, como o Google Authenticator. Sistemas muito complexos usam uma chave de hardware inserida em uma porta USB do computador ou conectada ao seu smartphone via Bluetooth ou NFC.

Em alguns casos, você não precisa de uma senha. Por exemplo, quando você entra em uma conta da Microsoft, uma senha de uso único é enviada a você por e-mail. Por padrão, o aplicativo de mensagens Telegram usa autenticação baseada em códigos únicos enviados em mensagens de texto, sem necessidade de senha (embora uma seja recomendada como medida de segurança adicional).

Na maioria dos casos, no entanto, as senhas ainda estão lá como uma forma de autenticação reserva. Mas confiar apenas em senhas baseadas em texto (de longe a forma mais comum e compreensível de 2FA) também não é uma boa ideia por vários motivos. Em suma, há muito tempo existe um entendimento de que o futuro não pertence às senhas. Agora, finalmente, parece que esse futuro está chegando mais perto de nós.

Autenticação sem senha na concepção da FIDO/W3C

De uma forma bem resumida, o novo padrão de autenticação torna a senha (ou melhor — a chave de acesso, que é um par de chaves de criptografia, privada e pública) um elemento puramente técnico que o usuário deixa de enxergá-la. Isso permite o uso de chaves fortes e exclusivas e criptografia poderosa. E, por sua vez, torna a vida mais difícil para os cibercriminosos e garante que, se uma conta for invadida, nenhuma outra será perdida e torna impossível divulgar o “segredo” para os bandidos.

Para os usuários, vai parecer que estão confirmando um login em uma rede social, em uma conta de e-mail ou em um serviço de banco online, a partir de nosso smartphone. Será como fazer um pagamento por smartphone hoje: você desbloqueia o dispositivo por meio do PIN ou autenticação de rosto/biometria e confirma a “transação” – só que, em vez de pagar, você está acessando sua conta. Ao fazer isso, um desbloqueio bem-sucedido confirma que você é você. Nada mal, certo?

Além disso, o padrão desenvolvido pela FIDO possui um recurso adicional na forma de autenticação Bluetooth em vários dispositivos. Por exemplo, o login da conta em um laptop é mais rápido se o dispositivo “enxergar” um smartphone confiável por perto. Este empolgante sistema de autenticação funcionará para a grande maioria dos usuários, exceto talvez aqueles que continuam a usar um telefone de botão por princípios. Com o apoio de três gigantes da internet, esse recurso deve se tornar seu uso universal em um curto prazo. Então, eis a pergunta: isso será bom para a segurança? Vejamos os prós e os contras da nova tecnologia.

Prós da autenticação sem senhas

O suporte do Google, Apple e Microsoft dá motivos para acreditar que os todos os principais serviços (Gmail, YouTube, iCloud, Xbox) e todos os dispositivos iOS, Android e Windows em breve começarão a migrar para a autenticação sem senha. Como o padrão é unificado e aberto, a autenticação deve funcionar de forma idêntica em qualquer dispositivo. Além disso, a opção de alternar de um dispositivo para outro é prometida. Trocou seu iPhone por um Samsung Galaxy? Não é um problema: você pode designar o novo smartphone como seu dispositivo de verificação de login.

O principal benefício do novo método é que ele complica seriamente os ataques de phishing. O roubo de senha tradicional funciona com a criação de um site falso de banco ou qualquer outra coisa, atraindo a vítima para ele. Lá, o usuário insere suas credenciais de login (às vezes até a 2FA é utilizada), e é isso – o invasor tem acesso à conta bancária. Além de autenticar o usuário, o novo padrão verifica a autenticidade do próprio serviço. Simplesmente enviar uma solicitação de autenticação no recurso da Web de outra pessoa não funcionará. Os vazamentos de senha também não representam uma ameaça para os usuários.

Por fim, o novo sistema promete ser simples e intuitivo. Se implementado corretamente, a substituição de senhas mesmo para contas existentes deve ser muito simples, e o prometido suporte ao sistema operacional de smartphones nem exigirá a instalação de nenhum aplicativo. Basta acessar o site que quiser, introduzir o seu identificador e confirmar o pedido no seu smartphone. Tudo feito!

Problemas que o fim das senhas não resolverá

A rigor, isso não deve ser considerado um problema, mas muitas pessoas certamente farão a pergunta: e se alguém colocar as mãos no meu smartphone “confiável” e aprovar o login em todas as minhas contas? A resposta é muito simples: em um modelo de segurança realista, não existem soluções inquebráveis. Qualquer coisa pode ser hackeada – a única questão é quais recursos o invasor está disposto a empregar na missão. Afinal, mesmo que você armazene suas senhas aleatórias de 128 caracteres exclusivamente em sua cabeça, existem maneiras comprovadas de extraí-las de você.

É provável que haja tentativas de hackear smartphones individuais para obter acesso às contas. Mas esses hacks serão individuais, direcionados a alvos de alto perfil, uma espécie de ataques de butique. Quando se trata do mercado de massa – isto é, ameaças cotidianas da vida real – o roubo de senhas é muito mais comum do que roubar smartphones para fazer uso de seu conteúdo digital. E a nova tecnologia visa resolver precisamente esse problema.

Lembre-se de que dúvidas semelhantes foram colocadas sobre a introdução em massa da biometria. Naquela época, muitas pessoas estavam igualmente preocupadas com o fato de alguém roubar sua impressão digital (na versão mais hardcore, cortando o dedo) e desbloquear seu smartphone. Troy Hunt, criador do já mencionado HaveIBeenPwned, escreveu um artigo inteiro no ano passado sobre um tema relacionado: em um modelo de segurança realista, a biometria é mais forte do que as senhas.

Mas o verdadeiro problema que o acesso sem senha não resolverá é a perda do smartphone. Claro, o novo padrão possibilita a transferência do sistema de autenticação de um dispositivo para outro. A maneira mais fácil de fazer isso é quando você tem dois dispositivos – por exemplo, um telefone antigo e um novo. Se o telefone antigo for perdido, sem dúvida você terá que usar algum tipo de método de backup para provar que é você. Mas que tipo de método de backup pode ser esse ainda não está claro; provavelmente dependerá das configurações do serviço em questão.

Para concluir, vale a pena fazer a pergunta: o novo sistema não tornará os usuários mais dependentes da funcionalidade de suas contas que possuem com os mesmos Google ou Apple? O bloqueio de uma conta do Google levará à perda de acesso a todos os recursos online em geral? Mesmo se considerarmos que o padrão é aberto, os sistemas operacionais de smartphones são menos – sem falar nas infraestruturas.

Um futuro brilhante pela frente

Mesmo um cético seria pressionado a dizer que as senhas são melhores do que as opções sem senha. O conceito de senha está desatualizado e precisa de uma revisão. O padrão sem senha da FIDO promete esclarecer muitas coisas, mas muito também depende dos implementadores: Google, Apple, Microsoft etc. Se eles acertarem, nossas vidas digitais se tornarão um pouco mais fáceis e seguras. Mas é improvável que isso aconteça da noite para o dia: as senhas estão tão arraigadas na internet de hoje que levará muitos anos para apagá-las completamente – mesmo que um novo sistema melhor entre no lugar.

Difícil decorar tantas senhas não é?

 

Dicas