O mundo sem senhas: as novas formas de autenticação para evitar tantos números e letras

Pouco a pouco, gigantes da tecnologia estão apostando em um mundo sem senhas onde outras estratégias de autenticação consideradas mais seguras sejam implementadas. É o caso da Microsoft, que em setembro do ano passado anunciou a possibilidade de todos os usuários da conta com a empresa poderia excluir suas chaves, se assim o desejassem.

Isso é possível graças ao uso do Microsoft Authenticator, Windows Hello, uma chave de segurança ou o código de verificação enviado ao seu celular ou e-mail para entrar em seus aplicativos e serviços favoritos.

Agora, o Google também está se preparando para seguir nessa direção, pois propõe um sistema baseado em chaves de acesso. Essa é uma nova proposta que vincula uma chave privada à conta pessoal do usuário e permite que ela seja sincronizada entre dispositivos para uso em sites.

A Aliança FIDO (Fast Identity Online), à qual algumas das empresas de tecnologia mais importantes estão inscritas e que visa criar novos padrões seguros para o gerenciamento de serviços digitais, propôs uma nova abordagem de segurança que deixa para trás a autenticação por senha e dois fatores.

Essas são credenciais para vários dispositivos, capazes de contornar o phishing que cresceu muito nos últimos tempos.

Nesse caso, é uma proposta que armazena informações criptográficas no dispositivo (celular, computador ou tablet), uma chave privada que gera uma assinatura que, posteriormente, verifica um servidor que realmente foi criado com essa chave privada ao tentar acessar um site.

No caso do Android, as chaves de acesso são salvas na Conta do Google, permitindo que essas informações sejam sincronizadas entre os dispositivos, útil se, por exemplo, você mudar para um novo celular.

O usuário ainda terá que fazer login em sua conta com a senha, mas ele a evitará nos serviços da web.

Na prática, esse processo funciona de maneira semelhante a um gerenciador de senhas e é conhecido comercialmente como uma chave de acesso, conforme mencionado pela aliança em seu relatório de março de 2022 sobre como o FIDO aborda uma gama completa de casos de uso.

“Como gerenciadores de senhas com senhas, a plataforma subjacente do sistema operacional sincronizará chaves criptográficas que pertencem a uma credencial FIDO de um dispositivo para outro. Isso significa que a segurança e a disponibilidade da credencial sincronizada de um usuário dependem da segurança do mecanismo de autenticação da plataforma do sistema operacional subjacente (Google, Apple, Microsoft, etc.) para suas contas online e do método de segurança de restaurar o acesso quando tudo (antigo) é perdido o devices”, diz um dos documentos FIDO.

No ano passado, a Apple anunciou um novo recurso de autenticação, chamado Passkeys, que permitiria que os usuários usassem FaceID ou TouchID para fazer login para sites compatíveis com este sistema. Dessa forma, eles não precisariam usar uma senha, pois usariam um sistema biométrico.

O anúncio foi feito em junho do ano passado, na sessão para desenvolvedores intitulada Move beyond passwords, oferecida pela Apple como parte de seu evento anual (WWDC 21) para desenvolvedores.

Como explicou a empresa, ele também se baseia no protocolo promovido pela FIDO Alliance, à qual a Apple aderiu em fevereiro de 2020 para melhorar a autenticação online.

As chaves de acesso evitam ter que lembrar uma senha ao fazer login em um site, desde que a página em questão ofereça suporte a essa tecnologia.

Ao lado do nome de usuário, o reconhecimento facial ou impressão digital do FaceID é vinculado ao TouchID em vez de uma senha.

Seu suporte já foi incluído no iOS, na segunda versão beta da versão 15.5. Por sua vez, o Google está trabalhando para incluir essa nova iniciativa, como eles identificaram no 9to5Google, verificando algumas linhas de código para a versão mais recente do Google Play Services (versão 22.15.14).

CONTINUE LENDO: