Centenas de milhões de pessoas usam senhas todos os dias – elas desbloqueiam nossos dispositivos, e-mail, redes sociais e até contas bancárias. No entanto, as senhas são um cada vez mais fraco maneira de nos proteger: quase não passa uma semana sem que uma grande gafe de segurança chegue aos noticiários. Esta semana, é Cisco – fabricante de grande parte do hardware que essencialmente alimenta a Internet.
No momento, quase todo mundo está procurando ir além das senhas para autenticação multifator: exigindo “algo que você tem” ou “algo que você é” além de algo que você conhece. As tecnologias biométricas que medem olhos, impressões digitais, rostos e/ou vozes são ficando mais prático, mas frequentemente falham para algumas pessoas e são difíceis de levar a centenas de milhões de usuários.
Vídeos recomendados
Não estamos negligenciando o óbvio? A solução para a segurança multifatorial já não está em nossos bolsos?
Relacionado
- Os 15 smartphones mais importantes que mudaram o mundo para sempre
- SMS 2FA é inseguro e ruim – use estes 5 ótimos aplicativos autenticadores
- O cansaço da assinatura de aplicativos está arruinando rapidamente meu smartphone
Acesso a operações bancárias via Internet
Acredite ou não, os americanos têm usado a autenticação multifatorial há anos sempre que fazem serviços bancários on-line – ou, pelo menos, versões diluídas dela. Em 2001, o Conselho Federal de Exame de Instituições Financeiras (FFIEC) exigiu que os serviços bancários on-line dos EUA implementassem a verdadeira autenticação multifatorial até 2006.
Estamos em 2013 e ainda estamos fazendo login no banco on-line com senhas. O que aconteceu?
“Basicamente, os bancos fizeram lobby”, disse Rich Mogull, CEO e analista da Segurança. “A biometria e os tokens de segurança podem funcionar bem isoladamente, mas é muito difícil escalá-los até mesmo para serviços bancários. Os consumidores não querem lidar com várias coisas assim. A maioria das pessoas nem sequer coloca senhas nos telefones.”
Então, os bancos recuaram. Em 2005, a FFIEC emitiu diretrizes atualizadas que permitiu que os bancos se autenticassem por senha e “identificação do dispositivo” – basicamente, traçando perfis dos sistemas dos usuários. Se um cliente fizer login a partir de um dispositivo conhecido, ele só precisará de uma senha; caso contrário, o cliente precisará passar por mais obstáculos - geralmente questões desafiadoras. A ideia é que criar perfis de dispositivos equivale a verificar algo que os usuários ter (um computador, smartphone ou tablet) para acompanhar a senha que eles saber.
Os bancos tornaram-se mais sofisticados na identificação de dispositivos e diretrizes federais ainda mais recentes exigem que os bancos usem mais do que um cookie de navegador facilmente copiado. Mas o sistema ainda é fraco. Tudo acontece em um único canal, portanto, se um malfeitor conseguir acessar a conexão de um usuário (talvez por meio de roubo, hacks ou malware), está tudo acabado. Além disso, qualquer pessoa é tratada como um cliente que utiliza um novo dispositivo – e como New York Times colunista David Pogue pode atestar, perguntas de segurança respondidas com sinceridade às vezes oferecem pouca proteção.
No entanto, a forma limitada de segurança multifatorial do banco on-line grande vantagem para os consumidores. Para a maioria dos usuários, na maior parte do tempo, o perfil do dispositivo é invisível e funciona como uma senha – que quase todo mundo entende.
Autenticador Google
Tokens digitais, cartões de segurança e outros dispositivos têm sido usados na autenticação multifatorial há décadas. No entanto, tal como a biometria, até agora nada se revelou viável para milhões de pessoas comuns. Também não existem padrões generalizados, então as pessoas podem precisar de uma dúzia de controles remotos, tokens, pen drives e cartões diferentes para acessar seus serviços favoritos. Ninguém vai fazer isso.
E os telefones em nossos bolsos? Há quase um ano, pesquisadores descobriram quase 90 por cento dos adultos americanos possuíam telefones celulares – quase metade tinha smartphones. Os números devem ser maiores agora: certamente serão usados para autenticação multifatorial?
Essa é a ideia por trás Verificação em duas etapas do Google, que envia um código PIN único para um telefone por SMS ou voz ao fazer login nos serviços do Google. Os usuários inserem sua senha e o código para fazer login. É claro que os telefones podem ser perdidos ou roubados e, se a bateria acabar ou nenhum serviço móvel estiver disponível, os usuários ficarão bloqueados. Mas o serviço funciona mesmo com feature phones e é certamente mais seguro – embora menos conveniente – do que apenas uma senha.
A verificação em duas etapas do Google fica mais interessante com Autenticador Google, disponível para Android, iOS e BlackBerry. O Google Authenticator usa senhas de uso único baseadas em tempo (TOTP), um padrão apoiado pelo Iniciativa para Autenticação Aberta. Basicamente, o aplicativo contém um segredo criptografado e gera um novo código de seis dígitos a cada 30 segundos. Os usuários inserem esse código junto com sua senha para provar que possuem o dispositivo correto. Desde que o relógio do telefone esteja correto, o Google Authenticator funciona sem serviço telefônico; além do mais, seus códigos de 30 segundos funcionam com outro serviços que suportam TOTP: no momento, isso inclui Dropbox, Última passagem, e Amazon Web Services. Da mesma forma, outros aplicativos compatíveis com TOTP podem funcionar com o Google.
Mas há problemas. Os usuários enviam códigos de verificação no mesmo canal que as senhas, portanto ficam vulneráveis aos mesmos cenários de interceptação que os serviços bancários on-line. Como os aplicativos TOTP contêm um segredo, qualquer pessoa (em qualquer lugar do mundo) poderá gerar códigos legítimos se o aplicativo ou segredo for quebrado. E nenhum sistema é perfeito: no mês passado, o Google corrigiu um problema que poderia permitir total de aquisições de contas por meio de senhas específicas do aplicativo. Diversão.
Para onde vamos daqui?
O maior problema com sistemas como a verificação em duas etapas do Google é simplesmente que eles são um pé no saco. Você quer mexer no seu telefone e códigos toda vez você faz login em um serviço? Seus pais, avós, amigos ou filhos? A maioria das pessoas não. Mesmo os tecnófilos que amam o fator legal (e a segurança) provavelmente acharão o processo estranho em apenas algumas semanas.
Os números sugerem que a dor é real. Em janeiro, o Google forneceu Com fio Robert MacMillan um gráfico de adoção em duas etapas, incluindo um pico acompanhando “Hack épico”Artigo em agosto passado. Observe qual eixo não tem rótulos? Os representantes do Google se recusaram a dizer quantas pessoas usam sua autenticação de dois fatores, mas o vice-presidente de segurança do Google, Eric Grosse, disse à MacMillan que 250 mil usuários se inscreveram após o artigo de Honan. Por essa métrica, minha estimativa aproximada é de que cerca de 20 milhões de pessoas se inscreveram até o momento - apenas uma redução em mais de 500 milhões de pessoas. reivindicações ter contas do Google+. Esse número parecia correto para uma funcionária do Google que não quis ser identificada: ela estimou que menos de dez por cento dos usuários “ativos” do Google+ haviam se inscrito. “E nem todos persistem”, observou ela.
“Quando você tem um público desenfreado, você não pode assumir qualquer tipo de comportamento além do básico — especialmente se você não deu a esse público um motivo para querer esse comportamento”, disse Christian Hessler, CEO da empresa de autenticação móvel LiveEnsure. “Não há como treinar um bilhão de pessoas para fazer algo que não querem”.
O LiveEnsure depende da verificação fora da banda dos usuários usando seus dispositivos móveis (ou mesmo por e-mail). Insira apenas um nome de usuário (ou use um serviço de login único, como Twitter ou Facebook), e o LiveEnsure aproveita o contexto mais amplo do usuário para autenticação: não é necessária senha. No momento, o LiveEnsure usa “linha de visão” – os usuários escaneiam um código QR na tela usando o telefone para confirmar seu login – mas outros métodos de verificação estarão disponíveis em breve. O LiveEnsure evita a interceptação usando uma conexão separada para verificação, mas também não depende de segredos compartilhados em navegadores, dispositivos ou mesmo em seus serviços. Se o sistema estiver quebrado, o LiveEnsure afirma que as peças individuais não têm valor para um invasor.
“O que está em nosso banco de dados poderia ser enviado em CDs como presente de Natal e seria inútil”, disse Hessler. “Nenhum segredo é transmitido, a única transação é um simples sim ou não.”
A abordagem do LiveEnsure é mais fácil do que inserir PINs, mas ainda exige que os usuários mexam em dispositivos móveis e aplicativos para fazer login. Outros pretendem tornar o processo mais transparente.
Toopher está aproveitando o reconhecimento de dispositivos móveis sobre sua localização via GPS ou Wi-Fi como uma forma de autenticar usuários de forma transparente – pelo menos, de locais pré-aprovados.
“Toopher está trazendo mais contexto para a decisão de autenticação para torná-la invisível”, disse o fundador e CTO Evan Grimm. “Se um usuário normalmente está em casa fazendo serviços bancários on-line, ele pode automatizá-lo para tornar a decisão invisível.”
A automação não é necessária: os usuários podem confirmar sempre em seus dispositivos móveis, se desejarem. Mas se os usuários disserem ao Toopher o que é normal, eles só precisarão ter o telefone no bolso e a autenticação acontecerá de forma transparente. Os usuários apenas digitam uma senha e todo o resto fica invisível. Se o dispositivo estiver em um local desconhecido, os usuários precisarão confirmar no telefone – e se não houver conectividade, Toopher recorre a um PIN baseado em tempo usando a mesma tecnologia do Google Autenticador.
“Toopher não tenta mudar fundamentalmente a experiência do usuário, disse Grimm. “O problema com outras soluções multifatoriais não é que elas não acrescentaram proteção, mas sim que mudaram a experiência do usuário e, portanto, tiveram impedimentos para a adoção.”
Você tem que estar no jogo
As senhas não desaparecerão, mas serão aumentadas por locais, PINs únicos, soluções de linha de visão e linha de som, biometria ou até mesmo informações sobre dispositivos Bluetooth e Wi-Fi próximos. Smartphones e dispositivos móveis parecem ser a forma mais provável de adicionar mais contexto para autenticação.
Claro, você precisa estar no jogo se quiser jogar. Nem todo mundo possui smartphones, e a nova tecnologia de autenticação pode excluir usuários sem tecnologia recente, deixando o resto do mundo mais vulnerável a hacks e roubo de identidade. A segurança digital pode facilmente tornar-se algo que distingue os que têm dos que não têm.
E, até agora, não se sabe quais soluções vencerão. Toopher e LiveEnsure são apenas dois entre muitos participantes, e todos enfrentam o problema do ovo e da galinha: sem a adoção por parte dos usuários e dos serviços, eles não ajudam ninguém. Toopher recentemente garantiu US$ 2 milhões em financiamento inicial; LiveEnsure está conversando com alguns grandes nomes e espera sair do modo furtivo em breve. Mas é muito cedo para dizer onde alguém irá parar.
Enquanto isso, se um serviço no qual você confia oferece qualquer forma de autenticação multifatorial – seja via SMS, um aplicativo de smartphone ou até mesmo uma chamada telefônica – considere-o seriamente. É quase certamente uma proteção melhor do que apenas uma senha... mesmo que também seja quase certamente um pé no saco.
Imagem via Obturador / Adam Radosavljevic
[Atualizado em 24 de março de 2013 para esclarecer detalhes sobre FFIEC e LiveEnsure e corrigir um erro de produção.]
Recomendações dos Editores
- Como encontrar arquivos baixados em seu iPhone ou smartphone Android
- Seu plano do Google One acaba de receber duas grandes atualizações de segurança para manter você seguro on-line
- Como seu smartphone poderá substituir uma câmera profissional em 2023
- O Pixel 6 do Google é um bom smartphone, mas será suficiente para convencer os compradores?
- O líder do Google diz que está ‘desapontado’ com o novo programa de segurança do iPhone da Apple
