Nos últimos anos, houve um aumento alarmante no número de senhas que uma pessoa deve lembrar. Enquanto os funcionários de pequenas e médias empresas usam até 85 teclas, de acordo com um relatório do Lastpassas de grandes empresas utilizam em média cerca de 25. Gigantes da tecnologia como Apple e Google tentam desenvolver soluções para que os usuários não precisem memorizar todas essas credenciais e certificar-se de que estejam seguras. Mas as senhas como as conhecemos hoje realmente desaparecerão?
Com seu mais recente sistema operacional para o iPhone, a Apple lançou as chaves de acesso. Ou, nas palavras da empresa, “uma substituição de senha”. “Eles são mais rápidos para fazer login, mais fáceis de usar e muito mais seguros”, diz a empresa. Esse novo sistema permite que o usuário acesse qualquer aplicativo ou serviço por meio do Face ID ou Touch ID — os sistemas de reconhecimento facial e identificação por impressão digital da Apple. Ou seja, sem inserir nenhuma chave manualmente.
Entre as vantagens das chaves de acesso, a Apple menciona que elas são mais resistentes a phishing (uma técnica para obter os dados pessoais e bancários de um usuário fingindo ser uma empresa ou instituição que ele conhece). Joseph Albors, diretor de pesquisa e conscientização da ESET Espanha, considera que este sistema é mais seguro do que as senhas tradicionais. “Isso nos impede de inserir nossas credenciais em sites fraudulentos preparados para roubá-las, pois a identificação como usuários é gerenciada de maneira criptografada ponto a ponto entre nosso dispositivo e o serviço conectados ao qual queremos acessar”, aponta.
Como funcionam as chaves de acesso da Apple?
Quando o usuário cria uma dessas chaves de acesso, o sistema operacional gera um par de chaves criptográficas exclusivo para associar a uma conta de aplicativo ou site. Garrett Davidson, engenheiro da equipe de experiência de autenticação da empresa, explica que uma dessas chaves é pública e está armazenada nos servidores da Apple, enquanto o outro é secreto e permanece no seu dispositivo o tempo todo. “O servidor nunca descobre qual é sua chave privada e seus dispositivos a mantêm segura”, diz ela.
Então, quando o usuário tenta fazer login em uma de suas contas, o site ou servidor de aplicativos envia um “desafio” ao dispositivo. A chave privada é a única que pode resolvê-lo. A chave pública é então usada para verificar se a solução é válida, mas ela não pode resolver o desafio sozinha. “Isso significa que o servidor pode ter certeza de que possui a chave privada correta, sem saber qual é realmente a chave privada”, explica Davidson.
As chaves de acesso são criptografadas e sincronizadas em todos os seus dispositivos Apple usando as Chaves do iCloud. Se for usado um dispositivo não compatível com este sistema de armazenamento em nuvem, é gerado um código QR que deve ser digitalizado com o iPhone. Embora esse método de login pareça bastante promissor no início, nem todos os aplicativos o suportam atualmente.
Os problemas das chaves tradicionais
Acabar com as senhas é um dos principais desafios das grandes empresas de tecnologia para resolver alguns problemas de segurança na web. A aliança FIDO, que visa abandonar as credenciais tradicionais, envolve empresas como Apple, Google e Microsoft. A proposta da Microsoft, segundo Albors, é muito eficaz na substituição de senhas por códigos numéricos que são gerados por um aplicativo instalado no celular, “embora a Apple ganhe em termos de conveniência e experiência do usuário”. A empresa Mountain View também vem preparando “o palco para um futuro sem senhas por mais de uma década”.
Entre as desvantagens das credenciais tradicionais, Fernando Suárez, presidente da Conselho Geral das Faculdades Oficiais de Engenharia Informática (CCII), aponta que os usuários devem gerar um para cada serviço —ou pelo menos é o que se recomenda— e memorizá-lo ou salve-o em um gerenciador de chaves. Mas nem sempre o fazem. Uma pesquisa do Google indica que 13% dos americanos usam a mesma senha para todas as suas contas e 52% para vários serviços (embora não para todos).
A isto se acrescenta que as teclas mais utilizadas são “as mais simples”: de “123456” a “qwerty” passando por “password” (senha, em espanhol), “111111” ou “eu te amo” (eu te amo, em Espanhol), de acordo com a retirada o gerente de credenciais Nordpass. “A sua substituição por sistemas biométricos, baseados nas características físicas de cada indivíduo, permite que sua identidade seja autenticada de forma rápida e confiável”, diz Suárez.
Núria Andrés, estrategista de cibersegurança na Proofpoint para Espanha e Portugal, destaca que as senhas formam uma primeira barreira crítica entre o usuário, o invasor e um ataque cibernético bem-sucedido. “Mesmo no melhor cenário, onde uma pessoa acessa um serviço da web com uma senha única e bastante forte, é possível lançar um ataque direcionado que revela essas chaves e as deixa nas mãos de cibercriminosos”, diz ele.
As limitações de um mundo sem senhas
Diante do potencial das chaves de acesso da Apple para acabar com alguns problemas de segurança de senhas, ainda é cedo para avaliar suas possíveis limitações. “Aliás, um dos problemas inerentes aos sistemas de autenticação que usam identificação biométrica é que ela não pode ser alterada”, diz Albors. Essa é a desvantagem de usar algo que você possui exclusivamente, como seu rosto ou impressões digitais, em vez de algo que você conhece, como senhas. Além disso, o especialista ressalta que, em casos excepcionais, alguém poderia acessar a conta de um usuário se é capaz de realizar a identificação facial. Uma equipe de pesquisadores da Universidade de Tel Aviv em Israel afirma ter descoberto como contornar uma grande porcentagem de sistemas de reconhecimento facial.
Suárez vê duas possíveis desvantagens no novo sistema da Apple. Para começar, os sistemas biométricos não são infalíveis. “É necessária uma senha ou PIN para ser usado como alternativa caso a biometria não funcione devido a uma câmera quebrada ou qualquer outra causa”, diz ele. Além disso, “ao armazenar a chave privada no próprio dispositivo, se a perdermos, o acesso aos serviços baseados nessa tecnologia não é imediato”.
O fim das senhas?
Apesar de durante anos várias empresas anunciarem o desaparecimento das senhas tradicionais, ainda hoje é uma promessa não cumprida. Jordi Serra, professor de Ciência da Computação, Multimídia e Estudos de Telecomunicações da Universidade Aberta da Catalunha (UOC), concorda que a proposta da Apple ainda não está suficientemente implementada. “É um passo adiante poder remover senhas a curto prazo, mas ainda levará tempo para que esses sistemas se tornem mais utilizáveis e seguros”, diz ele.
Mais da metade dos especialistas em tecnologia da informação gostariam de proteger suas contas por meio de um método alternativo às senhas e consideram que o uso de sistemas biométricos aumentaria a segurança de suas organizações, de acordo com um relatório do Instituto Ponemon. A Albors acredita que as credenciais tradicionais inevitavelmente desaparecerão porque são ineficazes na proteção da autenticação devido ao grande número de serviços conectados e a tendência dos usuários de gerar chaves fáceis e reutilizá-las. Quando ainda é uma incógnita: “Embora esta data esteja cada vez mais próxima, depende da aceitação das diferentes soluções que são oferecidas atualmente.”
Você pode seguir A TECNOLOGIA DO PAÍS dentro Facebook S Twitter ou cadastre-se aqui para receber nossos boletim semanal.
“Fã de café. Especialista em viagens freelance. Pensador orgulhoso. Criador profissional. Organizador certificado.”