09/05/2022
Apple, Google e Microsoft buscam um padrão único de login que usará o telefone como o principal dispositivo de autenticação de acesso a serviços digitais
Com o aumento dos serviços disponíveis na internet e a proliferação de aplicativos, todo mundo precisa guardar uma infinidade de senhas para acessar suas contas nos bancos, nas redes sociais, nos sites de compras e por aí vai. Muitas pessoas acham trabalhoso criar senhas diferentes e fortes para acessar cada serviço e acabam repetindo os mesmos dados, ou usando apenas pequenas variações. Pior: muita gente, por preguiça ou falta de imaginação, utiliza senhas óbvias (como aquelas com a sequência numérica 1234, com a data de nascimento ou nomes de familiares etc.), tornando-se alvos fáceis de hackers.
Se depender de três gigantes de tecnologia — Apple, Google e Microsoft —, integrantes do grupo conhecido como Big Techs, as senhas estão com os dias contados. As três empresas se uniram e divulgaram um comunicado se comprometendo a dar suporte à implementação de um padrão único para acelerar a disponibilidade de logins sem senha. Não por acaso, a data escolhida para o anúncio foi o último 5 de maio, o Dia Mundial da Senha — data instituída em 2013, por sugestão da Intel Security, e comemorada desde então na primeira quinta-feira de maio, com o objetivo de conscientizar as pessoas sobre a necessidade de usar senhas fortes e seguras para não se tornar vítimas de cibercriminosos.
Um processo de login sem senha permitirá que as pessoas escolham seus telefones como o principal dispositivo de autenticação para aplicativos, sites e outros serviços digitais. Bastará desbloquear o telefone com o que estiver definido como ação padrão — inserir um PIN (número de identificação pessoa), desenhar um padrão ou usar o desbloqueio de impressão digital — para uma pessoa entrar nos serviços da Web sem a necessidade de inserir uma senha. Isso será possível pelo uso de um token criptográfico exclusivo, chamado chave de acesso, que é compartilhado entre o telefone e o site.
Ao tornar os logins dependentes de um dispositivo físico como o telefone, a ideia é que os usuários se beneficiem simultaneamente da simplicidade e da segurança. Sem uma senha, não haverá obrigação de a pessoa lembrar os detalhes de login nos serviços ou comprometer a segurança reutilizando a mesma senha em vários lugares. Da mesma forma, um sistema sem senha tornará muito mais difícil para os hackers descobrirem os detalhes de login remotamente, já que o login requer acesso a um dispositivo físico. Assim, em teoria, os ataques de phishing (técnica usada por cibercriminosos para atrair vítimas a um site falso com o objetivo de capturar dados confidenciais) serão muito mais difíceis de montar.
No comunicado conjunto, a Apple, o Google e a Microsoft afirmam que darão suporte para o login sem senha em todas as plataformas móveis, desktop e navegador que controlam a partir de 2023. Se tudo correr bem, isso significa que a autenticação sem senha deverá chegar a todas as principais plataformas de dispositivos em um futuro não muito distante. Isso inclui os sistemas operacionais móveis Android e iOS, os navegadores Chrome, Edge e Safari e os ambientes de desktop Windows e macOS.
O padrão único a ser adotado nas plataformas foi desenvolvido pela Fido Alliance e pelo Consórcio World Wide Web. A Fido Alliance é uma organização criada em 2012 pelas empresas do setor para estudar a questão da falta de interoperabilidade entre tecnologias de autenticação forte e solucionar os problemas que os usuários enfrentam ao ter de criar e lembrar vários nomes de usuário e senhas.
Segundo o comunicado, o novo recurso a ser implementado permitirá que sites e aplicativos ofereçam logins sem senha consistentes, seguros e fáceis para consumidores em todos os dispositivos e plataformas. “Embora os gerenciadores de senhas e as formas herdadas de autenticação de dois fatores ofereçam melhorias incrementais, houve uma colaboração em todo o setor para criar uma tecnologia de login mais conveniente e segura”, diz a nota.
“Os recursos baseados em padrões expandidos darão aos sites e aplicativos a capacidade de oferecer uma opção sem senha de ponta a ponta. Os usuários farão o login por meio da mesma ação que realizam várias vezes ao dia para desbloquear seus dispositivos, como uma simples verificação de impressão digital ou rosto ou um PIN do dispositivo. Essa nova abordagem protege contra o phishing e o login será radicalmente mais seguro quando comparado a senhas e tecnologias multifatoriais herdadas, como senhas de uso único enviadas por SMS.”
O comunicado divulgado pelas empresas informa que a ideia é oferecer aos usuários dois novos recursos para logins sem senha mais simples e seguros: 1) permitir que as pessoas acessem automaticamente suas credenciais de login Fido (chamadas por alguns de “chave de acesso”) em muitos de seus dispositivos, mesmo novos, sem precisar registrar novamente todas as contas; e 2) permitir que as pessoas usem a autenticação Fido em seu dispositivo móvel para fazer login em um aplicativo ou site em um dispositivo próximo, independentemente da plataforma do sistema operacional ou do navegador em execução.
“Estamos ansiosos para disponibilizar a tecnologia baseada em Fido no Chrome, no ChromeOS, no Android e em outras plataformas e incentivar os desenvolvedores de aplicativos e sites a adotá-la, para que as pessoas em todo o mundo possam se afastar com segurança do risco e do incômodo das senhas”, disse Mark Risher, diretor sênior de gerenciamento de produtos do Google.
“A mudança completa para um mundo sem senha começará com os consumidores tornando a tecnologia baseada em Fido uma parte natural de suas vidas. Qualquer solução viável deve ser mais segura, fácil e rápida do que as senhas e os métodos de autenticação multifator herdados usados hoje”, afirmou Alex Simons, vice-presidente corporativo de gerenciamento de programas de identidade da Microsoft.
Com essa iniciativa, as Big Techs tentam resolver o problema da segurança digital do lado dos servidores, para não ter mais de se preocupar com o lado dos usuários, segundo Rodolfo Avelino, professor de Cibersegurança no curso de Ciência da Computação do Insper. “De fato, a senha é o elo mais fraco de toda a cadeia de segurança digital. É uma questão cultural. A maioria das pessoas não dá a devida atenção à necessidade de criar uma senha mais forte para acessar suas contas na internet e adotar outras práticas para proteger os dados”, afirma Avelino. “E o problema é que não são apenas os usuários que sofrem prejuízos. Eles acabam levando a falta de cultura de segurança digital para dentro das empresas, criando situações que podem resultar em perdas patrimoniais e de imagem.” (Para saber mais sobre esse tema, leia este artigo.)
A tecnologia a ser implementada pelas Big Techs pode aumentar a segurança digital, mas Avelino chama a atenção para outra questão. “Tudo o que é centralizado apresenta problemas. E o problema que vejo nesse sentido é o poder de concentração que a aliança de empresas passará a ter”, diz o professor. “Com esse mecanismo de autenticação, as empresas passarão a colher ainda mais dados sobre quais usuários estão acessando quais sites ou aplicativos. A concentração de dados vai aumentar e o poder de vigilância também”, afirma Avelino.
