[CYBERSECURITY] Tendência Passwordless

Introdução

Que as senhas têm sua importância para garantir a segurança dos nossos dados e acessos não é nenhuma novidade. Porém, temos visto cada vez mais o quão problemático o uso de senhas pode ser quando elas são mal geridas, visto que essa administração recai inteiramente sobre o usuário e requer responsabilidade – além de uma boa memória. As clássicas senhas fracas como “123456” ou “maria123” ainda são muito comuns, mas é compreensível: ao mesmo tempo que somos orientados a não anotar nossas senhas, também precisamos ter uma senha diferente para cada plataforma, serviço e dispositivo. E como hoje tudo está concentrado no mundo digital, memorizar tantas coisas pode ser desafiador e, consequentemente, arriscado.

O maior problema das senhas previsíveis é a predisposição que elas têm de serem descobertas e quebradas em ataques brute force, quando o hacker tenta diversas combinações possíveis de caracteres até encontrar a combinação correta, ou ataques de dicionário, quando o hacker utiliza wordlists (listas predefinidas com as palavras mais utilizadas) até acertar. Além dos ataques premeditados, senhas podem ser comprometidas em vulnerabilidades de banco de dados e vazamentos de dados de login e informações sensíveis de diversos provedores de serviço.

Porém, os profissionais de segurança da informação e defesa cibernética têm pensado em novas alternativas de proteção de dados e acessos e, nesse contexto, surgiu a tendência passwordless.

O que é autenticação passwordless?

Em uma realidade onde as senhas já não são garantia de segurança e privacidade, a tendência passwordless surge como uma nova possibilidade. “Password” vem da palavra em inglês “senha” enquanto “less” quer dizer “sem” ou “menos”.

A proposta passwordless é de um contexto “sem senhas”, onde estas seriam substituídas por outras alternativas, sem a necessidade de o usuário cadastrar uma combinação de caracteres definida por ele mesmo ficando, portanto, responsável por guardar e memorizar. A tendência traz outras formas de verificar a identidade do usuário sem a necessidade de inserir uma senha tradicional.

Diferentes métodos de autenticação sem senha

As alternativas de autenticação passwordless são várias e surgiram conforme as necessidades apareceram tendo suas vantagens e desvantagens.

Para reduzir o risco de phishing, por exemplo, existe a autenticação por “link mágico”, que funciona quando o usuário insere seu endereço de e-mail e recebe um link único na sua caixa de entrada. É simples e eficiente, desde que a conta de e-mail não seja comprometida.

Os códigos de uso único (OTP - One Time Password) são o método mais comum. O usuário recebe um código temporário via SMS, e-mail ou aplicativo de autenticação, sendo um passo complementar ao login tradicional. Esse método se encaixa na Autenticação de Dois Fatores (2FA) ou Multifatorial (MFA) e é considerado semi-passwordless.

Uma alternativa mais moderna e adotada por modelos atuais de smartphones é a biometria. A autenticação biométrica inclui impressões digitais, reconhecimento facial, leitura de íris e até mesmo reconhecimento de voz. É segura, conveniente e quase impossível de falsificar. A desvantagem é a preocupação dos usuários com a sua privacidade e o fato de esse método requerer sensores específicos (hardware).

Existem também as chaves de segurança físicas, que estão se disseminando através da FIDO Alliance, uma organização sem fins lucrativos formada por diversas empresas de tecnologia em parceria com a W3C e que visa criar padrões passwordless. A FIDO já conta com três protocolos: a FIDO UAF (Framework de Autenticação Universal), a FIDO U2F (2º Fator Universal) e a FIDO2. Todos os protocolos utilizam criptografia de chave pública, possuem proteção anti-phishing, integram dados biométricos e podem vir na forma de tokens físicos que serão conectados ao dispositivo via USB, NFC ou Bluetooth.

Outro método de autenticação comum são as notificações push. O usuário recebe uma notificação push no dispositivo e confirma o login. É fácil de usar, é uma autenticação rápida e muito eficiente contra tentativas de phishing.

Por fim, a autenticação com login social é uma alternativa viável para os usuários que querem fazer login ou cadastros em sites utilizando as credenciais de uma rede social (Google, Facebook, LinkedIn, etc). Se o objetivo é reduzir o gerenciamento de senhas, o login social é ótimo, porém a segurança depende do provedor de identidade e também existe preocupação em relação à privacidade e controle dos dados dos usuários.

Como mencionado anteriormente, são várias as alternativas disponíveis, incluindo aplicativos de autenticação e autenticação baseada em certificados digitais. Cada método busca atender a necessidade de segurança, tendo suas próprias possibilidades de uso, além de levar em consideração a estrutura da organização ou de um sistema.

Benefícios e desafios

A transição de um ambiente com senha para um ambiente passwordless requer planejamento e investimento. Tanto os usuários quanto os gestores dos sistemas e das organizações precisam ser educados a respeito da tendência e suas possibilidades. Além de garantir maior segurança, a autenticação sem senha pode melhorar a experiência do usuário, oferecendo um login mais rápido e ágil. Com a redução de senhas e chamados de suporte para redefinição das mesmas, também tende a se reduzir o custo operacional. A autenticação passwordless pode ajudar as empresas a se manterem em conformidade regulatória (compliance) e se beneficia da adoção de tecnologias mais modernas e robustas.

Embora os benefícios já pareçam suficientemente convincentes, alguns desafios devem ser citados. Implementar uma solução passwordless pode ser complexo no início, por se tratar de mudanças na infraestrutura de TI já existente na empresa, e isso normalmente vai exigir que sistemas e dispositivos complementares também sejam modificados. No parágrafo anterior foi mencionada a redução de custo operacional, mas, em contrapartida, no caso de adoção de tecnologias como autenticação biométrica ou tokens de hardware, o custo inicial pode ser elevado.

Os métodos que utilizam biometria ainda são polêmicos e levantam questões sobre privacidade e segurança dos dados dos usuários. As empresas que adotarem essa alternativa precisam garantir confiabilidade na proteção contra vazamentos de dados e uso indevido. Isso também traz um pouco de resistência dos usuários, pois além da preocupação com os dados, algumas pessoas podem ter dificuldade de se familiarizar com essas tecnologias.

Em síntese, a tendência passwordless pode parecer complexa no começo, mas promete maior segurança e uma melhor experiência do usuário. É importante que as organizações considerem novas formas de autenticação e trabalhem em um gerenciamento eficiente.

Casos de uso e implementação prática

Com certeza você utiliza ou já utilizou a autenticação passwordless em algum aplicativo ou dispositivo. A adoção dessa prática é cada vez mais comum, uma vez que as empresas estão testando diferentes métodos, desde câmeras de reconhecimento facial e softwares de análise biométrica até prompts de autenticação enviados por notificação push, SMS ou e-mail.

A Microsoft tem defendido a autenticação sem senha através da utilização de reconhecimento facial ou impressão digital nos seus dispositivos com Windows Hello. O Google foi um dos pioneiros na tendência passwordless, permitindo diversas formas de autenticação: em dispositivos móveis, o login pode ser feito por link mágico, por notificação push ou por código PIN enviado para outro dispositivo cadastrado para recuperação.

Os bancos e instituições financeiras também estão interessados: o HSBC introduziu a autenticação por reconhecimento de voz através de chamadas telefônicas; o Nubank utiliza autenticação de dois fatores (2FA); caso o dispositivo do usuário possua reconhecimento biométrico, este pode ser ativado para acessar o aplicativo. O mesmo se aplica aos bancos Santander e Banrisul.

A implementação de métodos sem senha difere conforme a necessidade da organização e o contexto do usuário. Porém, além da ênfase na segurança, é preciso uma abordagem na compatibilidade tecnológica e foco no treinamento dos usuários.

Conclusão

Conforme os ataques digitais e vazamentos de dados se tornam cada vez mais frequentes e sofisticados, utilizar senhas tradicionais se tornou algo que já não supre a necessidade de privacidade. A tendência passwordless surge como um grande passo na evolução da segurança da informação e da defesa cibernética.

Futuramente, novas soluções mais seguras e convenientes surgirão já que agora temos desafios com inteligência artificial e machine learning que, ao mesmo tempo em que são incorporados em golpes e ameaças, também dão suporte aos blue teams¹, fornecendo respostas eficientes a incidentes em tempo real². É importante que as organizações estejam preparadas para a transição de um mundo de “123456” para a realidade sem senhas, investindo em tecnologia, inovação, infraestrutura e educação sobre o tema para colaboradores e usuários.

Apesar de o artigo tratar a autenticação sem senha como uma tendência, ela não denota um fenômeno passageiro; pelo contrário, esse tipo de autenticação é uma evolução necessária para termos um ambiente digital mais seguro e fornece uma base para o futuro, quando se trata de navegar com mais confiança e proteger informações e dados.

¹ Blue team: equipe que trabalha na defesa e monitoramento de redes e sistemas.
² Leia mais no artigo: IDS/IPS, syslog, SIEM e SOAR: ferramentas para monitoramento de redes