Mercado fechado
  • BOVESPA

    128.405,35
    +348,13 (+0,27%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.319,57
    +116,77 (+0,23%)
     
  • PETROLEO CRU

    71,50
    +0,46 (+0,65%)
     
  • OURO

    1.763,90
    -10,90 (-0,61%)
     
  • BTC-USD

    35.822,19
    -522,36 (-1,44%)
     
  • CMC Crypto 200

    888,52
    -51,42 (-5,47%)
     
  • S&P500

    4.166,45
    -55,41 (-1,31%)
     
  • DOW JONES

    33.290,08
    -533,37 (-1,58%)
     
  • FTSE

    7.017,47
    -135,96 (-1,90%)
     
  • HANG SENG

    28.801,27
    +242,68 (+0,85%)
     
  • NIKKEI

    28.964,08
    -54,25 (-0,19%)
     
  • NASDAQ

    14.017,75
    -138,50 (-0,98%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,0361
    +0,0736 (+1,23%)
     

O que é a autenticação sem senha e qual é a sua importância?

·4 minuto de leitura

FIDO2, WebAuthn… Termos como esses são cada vez mais comuns, e é bem provável que você já tenha se deparado com eles até mesmo enquanto lia reportagens do Canaltech. Embora sejam difíceis, tais palavras estão ligadas de forma íntima a um conceito bem mais amplo e que promete revolucionar a segurança de nossos dados em um futuro breve, melhorando o processo de verificação de identidades — a autenticação sem senha, também conhecida como autenticação passwordless (do original em inglês).

Antes de mais nada, é preciso retomar alguns conceitos básicos de segurança. A autenticação (ou seja, o ato de provar que a identidade de um indivíduo é real) sempre se baseou em três pilares: algo que você sabe (conhecimento), algo que você possui (propriedade) e algo que você é (característica). Com a popularização da microcomputação e de sistemas informáticos, para facilitar a vida dos usuários, calhou-se de usarmos o método mais simples dos três supracitados.

Algo que você sabe são as nossas tradicionais senhas (ou as credenciais, que é a combinação de um login, como um endereço de e-mail, e a senha). O problema é que essa autenticação de fator único está se provando ineficaz, já que somos bombardeados com notícias de vazamentos de dados — incluindo de passwords. Além disso, os internautas têm o péssimo hábito de usar credenciais fracas e repeti-las em vários serviços online que eles venham a utilizar, facilitando a ação de criminosos cibernéticos.

<em>Imagem: Reprodução/DC_Studio (Envato)</em>
Imagem: Reprodução/DC_Studio (Envato)

Surgiu, então, a autenticação dupla ou de dois fatores, que adiciona a camada “algo que você tem”. Se necessário, o site, para verificar sua identidade, enviaria um código SMS para o seu celular (uma linha telefônica é única e de sua propriedade, afinal) que precisa ser informado para garantir a autenticidade do usuário. Ainda assim, o mercado não ficou satisfeito com os resultados dessa abordagem, pois também é possível interceptar, falsificar e inutilizar a autenticação de duas etapas.

Presente em nossas vidas

E é daí que surge a ideia da autenticação sem senhas — um método de comprovação de identidade que dispensa os dois fatores citados e foca no terceiro, que é o mais difícil de fraudar. Quando falamos sobre “algo que você é”, estamos nos referindo, basicamente, a características biométricas, e isso inclui reconhecimento facial ou sensores de impressão digital — atualmente, a maioria dos notebooks e smartphones são capazes de trabalhar com tais métodos de verificação de identidade.

<em>Imagem: Divulgação/Apple</em>
Imagem: Divulgação/Apple

Se você desbloqueia seu iPhone através do Face ID ou o seu computador usando o Windows Hello, você já utiliza a autenticação sem senhas e nem sequer percebeu. O que o mercado deseja é levar essa praticidade para outros departamentos — idealmente, no futuro, não precisaremos mais digitar senhas para entrar no Facebook, no Twitter ou em serviços online digitais do Governo Federal. Para facilitar o desenvolvimento dessas tecnologias e impulsionar sua adoção, foram criados diversos padrões distintos.

Senha no chaveiro?

Um deles é o FIDO2, desenvolvido pela FIDO Alliance, um consórcio de empresas formado por grandes nomes como Lenovo, PayPal, Alibaba, Amazon, NTT DoCoMo, Qualcomm, RSA, Samsung, Visa, Apple e até Google. Embora seus padrões sejam compatíveis com uma série de fatores de autenticação (incluindo a já citada biometria), o FIDO2 ficou conhecido sobretudo pelo uso em tokens físicos de segurança. Uma fabricante expoente de tokens FIDO2 é a Yubico, que possui a famosa linha YubiKey.

O funcionamento de uma YubiKey é muito simples. Do tamanho de um pendrive (o que facilita seu transporte como um chaveiro, por exemplo), o gadget possui uma chave criptográfica única que é configurada e atrelada à sua identidade; a partir desse momento, basta inseri-la em seu computador para que o padrão FIDO2 se encarregue de fazer a comunicação entre tal chave e o servidor de destino. Para smartphones, há modelos de YubiKeys com USB-C e até NFC (aproximação).

<em>Imagem: Divulgação/Yubico</em>
Imagem: Divulgação/Yubico

Diversas plataformas, incluindo o Twitter, já são compatíveis com YubiKeys. Além da Yubico, o próprio Google já lançou o Titan, seu próprio token criptográfico físico; outros modelos podem ser encontrados facilmente no mercado paralelo brasileiro.

Passos curtos, mas firmes

Já o WebAuthn é um padrão aberto desenvolvido pela FIDO Alliance em parceria com o World Wide Web Consortium (W3C) para ser o protocolo diretriz para autenticação sem senha para aplicações web. Hoje em dia, os principais navegadores disponíveis no mercado — Chrome, Firefox, Edge e Safari — já possuem suporte para tal tecnologia. Além de aceitar chaves criptográficas FIDO2, o WebAuthn também trabalha com reconhecimento biométrico e pode até mesmo “reaproveitar” sensores já presentes em seu smartphone.

<em>Imagem: Reprodução/Termius</em>
Imagem: Reprodução/Termius

Juntos, esses protocolos prometem, em poucos anos, eliminar completamente a necessidade de digitar senhas. Naturalmente, as vantagens dessa tecnologia são atraentes ao usuário final, que garante maior segurança para as suas contas online; porém, ela também é atraente para o mundo corporativo, já que os gestores de segurança da informação podem dormir tranquilos sabendo que seus colaboradores não estarão expostos por senhas fracas.

Ainda há muito o que se trabalhar — smartphones mais baratos não possuem sensores biométricos e chaves criptográficas, o que torna a novidade inacessível para quem não possui condições financeiras para tal. Porém, o cenário é otimista, e a autenticação sem senha pode ser um padrão para todos dentro de, no máximo, cinco anos.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos