Lendo hoje um artigo publicado por Mat Honan em Wired qualificado "Mate a senha: por que uma sequência de caracteres não pode mais nos proteger" (que traduzido em nosso idioma é: "Eliminando a senha: Por que uma seqüência de caracteres não pode mais nos proteger?"), eu me lembrei de uma conversa há alguns dias com alguns dos membros desta comunidade em que mencionou o quão pouco difundido o uso de leitores de impressão digital é um mecanismo de autenticação, principalmente nos dispositivos móveis mais utilizados e as vantagens que seu uso proporcionaria.
O artigo em questão apresenta exemplos recentes de como as contas de alguns usuários (incluindo o autor do artigo) foram hackeadas, destacando a real incapacidade das senhas e dos mecanismos atuais de autenticação e verificação para proteger nossas informações e privacidade e argumenta os motivos para esta afirmação, todas muito válidas e que poderiam ser resumidas em quatro grandes grupos:
1.- Aumento da capacidade de processamento que permite hackear senhas mediante o uso de força bruta e dicionários de senhas disponíveis na rede. Vamos lá, com a capacidade das atuais CPUs e GPUs, usando programas de hacking amplamente disponíveis à força bruta, com dicionários que podemos acessar facilmente na rede, é só uma questão de tempo até que alguém consiga encontrar a senha de um arquivo criptografado , mesmo quando é supostamente "seguro" por conter letras, números e outros caracteres, com o agravante de que essas capacidades continuarão a aumentar no futuro.
2.- Reutilização de senhas por um mesmo usuário. O que nós já fizemos? Utilizamos a mesma conta de e-mail para nos autenticarmos em diferentes serviços, inclusive, utilizamos o mesmo nome de usuário e senha quando nos cadastramos em diversos locais da rede, além de "encadear" nossas contas com o mesmo endereço de e-mail "backup", dessa forma que se alguém tiver acesso a uma de nossas contas, praticamente terá acesso a todas elas.
3.- Uso de pishing e malware para roubar senhas. Aqui, o que mais influencia o bom senso do usuário, pois se você costuma clicar nos links de quantos e-mails recebe ou de quantas páginas visita, você está exposto a entregar você mesmo as informações que depois serão usadas contra você.
4.- Utilização de “engenharia social”. Existem dois aspectos amplamente utilizados aqui. Por um lado, cada vez mais colocamos a nossa vida na rede: Facebook, Linkedin, blogs pessoais, etc. disponibilizar a todos os detalhes detalhados de nossas vidas (onde estudamos, quem são nossos amigos, o nome do nosso animal de estimação, etc., etc.), que são na maioria dos casos as respostas às perguntas de verificação de quase todos os serviços em que registramos. Por outro lado, a capacidade dos hackers de usar ferramentas de engenharia social para interagir com os serviços ao cliente, permite-lhes alcançar com relativa facilidade, aproveitando as informações que têm sobre nós, convencer esses serviços de que são os usuários verdadeiros e entendem segurar nossas contas.
Pois bem, com o desenvolvimento da sociedade da informação, é um facto inegável que a nossa presença na Internet vai continuar a crescer, enquanto dependeremos em maior medida da utilização de serviços online para o nosso quotidiano, o que se somou à intenção converter celulares em carteiras eletrônicas de pagamento, através do uso da tecnologia NFC (Near Field Communication), são os ingredientes para uma tempestade perfeita em termos de segurança, impossível de evitar com o uso apenas de senhas e mecanismos de verificação como os atuais .
Como em todas as questões em que a segurança está envolvida, é necessário estabelecer um meio-termo entre a força do mecanismo de autenticação versus a facilidade de uso e privacidade do serviço em questão. Infelizmente, até agora, a facilidade de uso prevaleceu em detrimento da força dos mecanismos de autenticação.
Parece haver uma coincidência na opinião de que a solução para este problema reside na combinação de senhas, análise de padrões de uso e utilização de dispositivos biométricos para garantir um processo de autenticação que facilite a vida dos usuários, com mais mecanismos de verificação. os atuais.
Alguns provedores de serviço da rede já começaram a usar padrões de uso como complemento de senhas, por isso, por exemplo, quando acessamos nossa conta do Gmail a partir de um IP diferente do que costumamos fazer, nos envia para uma tela de verificação para verificar por outro método (telefone ou mensagem de texto), que somos o usuário legal da conta. Sobre este aspecto, parece haver consenso de que é apenas uma questão de tempo que a maioria das operadoras da rede adote variantes semelhantes.
O que ainda falta é que o uso de mecanismos ou dispositivos biométricos como parte da autenticação ainda não começou a ser implementado, existem várias formas, desde as mais simples como reconhecimento de padrões de voz ou reconhecimento facial (totalmente executável por software) e para as quais móveis os dispositivos já possuem o hardware necessário (microfones e câmeras), até mesmo os mais complexos, como leitores de impressão digital ou scanners de íris.
Embora alguns passos já estejam sendo dados nesse sentido, como o reconhecimento facial para desbloquear o celular em alguns aparelhos Android ou a recente compra pela Apple da empresa AuthenTec, especializada nesses temas, seu uso não vai além do anedótico e do quê O mais preocupante é que a integração dessas formas de autenticação com os serviços da rede ainda não começou a ser discutida.
Na minha opinião, o reconhecimento facial ou de voz, embora sejam os mais fáceis de implementar e não exijam hardware adicional, são os métodos menos seguros, enquanto os leitores de íris são totalmente impossíveis de integrar em dispositivos móveis, o que nos deixa a melhor opção para impressão digital leitores, que por suas reduzidas dimensões e multiplicidade de “chaves” seriam a solução perfeita; Explico: se ficarmos roucos devido a gripe ou sofrermos um acidente ou tivermos uma lesão facial, a voz ou o reconhecimento facial seria complicado, enquanto com um leitor de impressão digital podemos configurar o uso de vários dedos, portanto, um Um acidente em um deles não nos impediria de acessar nossos dados e serviços.
Atualmente já existem alguns notebooks que integram leitores de impressão digital em sua configuração, sem notar um aumento substancial de preço nestes modelos, o que permite inferir que seu custo não é significativo, apesar de seu uso não ter sido estendido. Por outro lado, infelizmente no momento são poucos os dispositivos móveis que possuem leitores de impressão digital e sua integração neles não parece ser uma tendência.
Algumas opiniões sugerem que estamos diante da clássica situação do ovo e da galinha: os leitores não são integrados aos dispositivos porque os serviços de rede não os utilizam como mecanismo de autenticação, mas, por sua vez, os serviços de rede não os utilizam como mecanismo de autenticação devido ao pequeno número de dispositivos que os têm integrados como padrão. Esse parece ser o nó górdio que ninguém ousa cortar no momento.
Além desse impasse em que nos encontramos, acho que há uma situação a ser resolvida para sua implementação e que é o estabelecimento dos padrões necessários para o uso de impressões digitais na autenticação, ou seja, o leitor de impressão digital escaneia uma imagem e de nele, deve ser gerada uma espécie de assinatura eletrônica, que é aquela que seria enviada ao serviço como uma "senha" para autenticação, de modo que o algoritmo de geração dessa assinatura deve garantir que diferentes leitores gerem assinaturas iguais de uma mesma pegada, sem prejuízo da segurança e isso não parece ser algo simples.
Sim, sei que a esta altura alguns vão trazer à tona o que viram num filme onde, levantando uma impressão digital deixada num vidro, conseguem utilizá-la para aceder a uma instalação, mas isto, para além do espectacular que resulta no ecrã, é não acho que vai se tornar uma moda que devemos cuidar no futuro; A menos que um de nós seja um Agente 007 ou tenha os códigos de acesso para Fort Knox.
Como afirma o autor do artigo que dá origem a esta postagem, o primeiro passo para a resolução de um problema é o reconhecimento de sua existência para então poder começar a propor soluções e é exatamente disso que se trata. Recomendo a todos os que podem ler o artigo a que me refiro, pois é muito ilustrativo, além de gostoso de ler (que infelizmente quem não sabe inglês não poderá desfrutar), com o incentivo adicional de conter alguns pérolas de como os hackers têm enganado serviços "respeitáveis" para obter acesso.
Você concorda com a minha opinião ou é um daqueles que ainda acredita que as senhas são suficientes para nós?