Envio de palavras-passe por e-mail ou mensagens é visto como um gesto perigoso que dificulta a segurança das contas. Como tal, as principais empresas já trabalha tendo em vista a adoção de uma norma comum que permita aos utilizadores prescindirem das senhas.
Na última quinta-feira, o mundo celebrou um dia que poderá ter passado despercebido a muitos face à ausência de repercussão nos meios de comunicação , mas que num futuro próximo pode deixar de fazer sentido. De facto, no Dia Mundial da Palavra-Passe as principais empresas de tecnologia do mundo comprometeram-se a acabar com a exigência destes códigos, promovendo formas mais seguras e avançadas de garantir a segurança dos utilizadores da internet.
As três empresas partilharam planos para apoiar uma norma comum de entrada sem recurso a palavras-passe, nomeadamente a criada pela FIDO Alliance e pelo World Wide Web Consortium. Estas empresas já dispõem de opções de entrada sem palavra-passe, mas normalmente exigem que os utilizadores entrem em cada website ou aplicação antes de poderem utilizar a funcionalidade sem palavra-passe.
Durante o próximo ano, as gigantes tecnológicas planeiam expandir este método e permitir aos utilizadores acederem automaticamente às suas credenciais de entrada no FIDO sem terem de entrar em todas as contas. Os utilizadores poderão também utilizar dispositivos móveis de autenticação FIDO para iniciar sessão numa aplicação ou website num dispositivo próximo, independentemente do sistema operativo ou navegador que estejam a executar.
“Este marco é uma prova do trabalho de colaboração que está a ser feito em toda a indústria para aumentar a proteção e eliminar a autenticação baseada em palavra-passe, que já está desatualizada”, explicou o diretor sénior de gestão de produtos da Google Mark Risher. “Para a Google, este período representa quase uma década de trabalho que fizemos em conjunto com a FIDO, como parte da nossa inovação contínua rumo a um futuro sem senhas“.
A FIDO, uma associação industrial aberta que procura criar alternativas às palavras-passe tradicionais, descreveu a autenticação apenas por palavra-passe como “um dos maiores problemas de segurança” na internet. Isto porque muitos utilizadores acabam por reutilizar a mesma palavra-passe em vários serviços, o que pode levar a violações de dados e a aquisições de conta.
Os parceiros dizem que através de capacidades alargadas baseadas em normas, os utilizadores podem iniciar sessão nas contas e aplicações, utilizando a mesma ação que tomam para desbloquear os seus dispositivos, tais como uma impressão digital ou um PIN de dispositivo. A FIDO diz que este método é mais seguro do que senhas ou “tecnologias de multifactores herdadas”, tais como senhas únicas tradicionalmente enviadas através de correio eletrónico ou texto.
“A ubiquidade e a usabilidade são fundamentais para ver a autenticação multifator adotada à escala, e aplaudimos a Apple, Google e Microsoft por ajudarem a tornar este objectivo uma realidade, comprometendo-se a apoiar esta inovação de fácil utilização nas suas plataformas e produtos”, disse Andrew Shikiar da FIDO Alliance CMO.
“Esta nova capacidade representa a introdução de uma nova onda de implementações FIDO de baixa fricção juntamente com a utilização contínua e crescente de chaves de segurança — dando aos fornecedores de serviços uma gama completa de opções para a implementação de autenticação moderna e resistente ao phishing“, acrescentou Shikiar.
Muitos peritos em segurança estão a defender métodos de autenticação sem senha para minimizar o risco de violações. Contudo, Craig Lurey, CTO e co-fundador da empresa de segurança informática Keeper Security, disse ao Silicon Republic que “por muito que inovemos, as senhas estão aqui para ficar”.
Os piratas da internet já devem estar a preparar planos para contornar o problema!
O melhor disto tudo?
Quem é que vai guardar as chaves de acesso? Exacto: estas três empresas! Se elas quiserem têm acesso a tudo aquilo que a pessoa tiver através do serviço que elas disponibilizam.
Quaisquer garantias que possam dar não passam de conversa fiada, quando se sabe que as secretas nos EUA e eventualmente em outros países exigem, com força de lei, o acesso a tudo o que elas tenham acesso, e ainda têm de negar publicamente que o fazem.
E claro, sem falar nos atacantes informáticos, que parecem arranjar sempre forma de contornar quaisquer medidas de segurança (ou falta dela).