O FIM DAS SENHAS E A BIOMETRIA

Em média cada pessoa tem cerca de 70 senhas, um número absurdo para se lembrar sim, e nasce daí a primeira grande porta para uma série de crimes digitais.

Diversas são as start-ups que estão trabalhando em soluções biométricas para evitar que os usuários tenham que lembrar de credenciais de login infinitas e reduzir incidentes de segurança nas empresas.

Para se ter uma referência da importância que o assunto tomou, basta lembrar que o maior investimento captado na história da cibersegurança, mais de US$ 543 milhões, foi feito na Transmit Security, empresa que tem como foco acabar com as senhas.

Sediada em Boston, a empresa pretende redesenhar a forma de acesso aos sites e aplicativos, pois a necessidade de substituir a série de números que usamos diariamente em nossas vidas é ainda mais urgente hoje com o teletrabalho e o aumento de crimes relacionados a senhas, como aconteceu com o congelamento do gasoduto Colonial Pipeline nesse ano e que causou a falta de abastecimento de combustível na Costa Leste dos Estados Unidos.

A biometria está nos ajudando a entrar em um futuro sem senha rapidamente e com muitas inovações. No ano passado, o Fórum Econômico Mundial aproveitou a pandemia para pedir um futuro sem senha, afirmando que melhoraria muito a segurança de uma empresa, reduzindo os ataques, e logo a corrida para substituir senhas já começou, com a segurança biométrica como uma das soluções mais procuradas.

A Fast Identity Online, ou FIDO, uma coalizão de mais de 250 empresas, incluindo Google e Microsoft, que promove um sistema padrão de autenticação sem senha, é uma amostra do que está por vir.

Apesar da proliferação de softwares de gerenciamento de senhas, que podem gerar e lembrar séries complicadas de caracteres aleatórios, algumas das chaves mais comuns ainda são 12345, senha e iloveyou, como destacou uma reportagem do jornal Expression.

Assim, mais de 80% dos hacks incluem senhas comprometidas, de acordo com o Fórum Econômico Mundial, e as chaves continuam sendo os dados mais perseguidos pelos hackers, acima de outras informações pessoais ou confidenciais.

Na maioria das vezes as pessoas são enganadas para fornecer suas senhas em e-mails de phishing que recebem e outras técnicas de engenharia social. Porém os criminosos não tem limites para sua ousadia, e logo também tentaram invadir aplicativos e roubar bancos de dados inteiros de senhas, como aconteceu em grandes grupos de tecnologia, como Yahoo! e LinkedIn, entre outros.

Na dark web, uma parte da Internet acessível apenas através de um mecanismo de busca não rastreável, há um enorme mercado de senhas. De acordo com a pesquisa Digital Shadows, há mais de 15 bilhões de credenciais circulando em fóruns de hackers, provenientes de mais de 100.000 ataques realizados separadamente.

Além disso, senhas são atacadas através do uso de novas tecnologias, como bots automatizados capazes de ativá-las rapidamente uma tática conhecida como “disseminação de senhas”, ou que testam senhas roubadas em várias contas, uma técnica conhecida como “acúmulo de credenciais”.

Um relatório de 2018 da Forrester mostrava que algumas grandes empresas dos EUA alocaram mais de um milhão de dólares anualmente para custos relacionados a senha, incluindo tecnologias anti-bot.

Mas ainda há riscos no uso desses sistemas. Ao contrário das senhas, a biometria não pode ser alterada. Isso significa que os dados devem ser armazenados muito bem tanto para privacidade quanto para evitar roubo de identidade, quando hackers tentam enganar câmeras ou sensores com fotos, máscaras ou moldes de suas vítimas.

A segurança dos sistemas biométricos melhorou, anteriormente, as informações biométricas eram hospedadas em bancos de dados centralizados de servidores, mas agora podem ser garantidas para permanecer em uma parte segura do dispositivo do usuário.

O maior obstáculo no caminho das start-ups para acabar com senhas sempre está na cultura do usuário que sempre resiste.

Nessa nova frente, a Microsoft já começou a oferecer acesso sem senha em suas contas, para os usuários dos seus serviços, desde março, buscando popularizar o seu uso de um sistema que retira as senhas e dá lugar a autenticação.

O recurso requer o download do Microsoft Authenticador, que exigirá permissões para enviar notificações e um sistema de autenticação seguro, como o FaceID ou a impressão digital do usuário (ou, alternativamente, o Windows Hello, o uso de uma chave de segurança física ou o envio de um código de verificação por SMS ou e-mail). Após a instalação de um método de autenticação, só temos que definir no perfil da nossa conta que queremos usá-la, e podemos esquecer diretamente nossa senha. A opção, segundo a empresa, será apresentada aos usuários nas próximas semanas.

Ainda que a tecnologia não seja nova, quando um grande player entra no jogo para oferecer, isso quase sempre implica em uma mudança de hábito.

Sucessivas tentativas de tornar as senhas mais seguras através de procedimentos como instruir os usuários a selecioná-las de acordo com certos requisitos (maiúscula, minúscula, números, caracteres especiais etc) fornecer-lhes senhas com aqueles requisitos que não podiam ser alterados, ou pedir-lhes para alterá-las de tempos em tempos foram comprovadas ao longo do tempo como simples contratempos para aqueles que tentaram acessar de uma forma  irregulares os sistemas, ou mesmo geraram problemas adicionais, como usuários incapazes de memorizar suas senhas. Em outros momentos, as senhas eram capturadas através de esquemas de phishing mais ou menos sofisticados que forçavam os usuários a desconfiar de tudo.

Sistemas baseados em autenticadores ou segundo fatores introduzem muito mais complicações para os interessados em acessar irregularmente um sistema, eles são simples de usar e, embora um pouco mais complicados do que a senha, eles têm muito mais vantagens nesse sentido.

A entrada da Microsoft deve mudar essa referência de segurança, o que é bom para todos, afinal o furto dos nossos dados já vem se desenhando como o crime de maior repercussão dentro desse novo universo digital.

Deixe um comentário

O seu endereço de e-mail não será publicado.