Durante vários anos, foram comunicadas diversas promessas relativas ao desaparecimento das passwords. Na verdade, esta forma de proteger os dados e contas é, maioritariamente, detestada, principalmente porque, devido à falta de literacia digital, não são escolhidas adequadamente e, graças a isto, resultam em prejuízos, uma vez que são alvos fáceis que não dispõem segurança suficiente para barrar o acesso aos dados mais importantes.
Um outro fator destacado como pouco positivo, é o incómodo associado à memorização de palavras-passes grandes e diferentes, nas diversas plataformas. No entanto, as consequências da utilização de uma password fraca, pode ser séria e terrivelmente prejudicial.
Como já destacado pela ActiveSys, as violações e roubos de dados pessoais estão a aumentar, tendo o período pandémico alavancado ainda mais estes ataques. A consequente exposição de passwords, compromete a segurança digital de qualquer empresa.
Apesar de as palavras-passes serem cruciais para manter a segurança de cada um digitalmente, elas próprias não são muito seguras. Sem um gestor de passwords ou sem a autenticação de dois fatores, a tarefa fica facilitada para os hackers.
Atualmente, o modo de aceder ao telemóvel já é feito de outras formas, através da impressão digital ou de impressão facial. Em breve, espera-se poder aplicar a identificação biométrica.
Desde 2015 que a Google tem unido esforços para poder limitar o uso e a necessidade de utilização de passwords em telemóveis Android. De igual forma, a Microsoft tem procedido da mesma forma, optando por alternativas, como o login biométrico. No entanto, a Microsoft pretende “tornar o acesso sem passwords numa realidade para todos os nossos clientes em 2021“, de forma a tornar os métodos de autenticação alternativos mais acessíveis a todas as pessoas. No mesmo sentido, num comunicado partilhado no site oficial, Alex Simons, vice-presidente corporativo do programa Microsoft Identify, referiu que: “As passwords são incómodas de se usar e apresentam riscos de segurança para os utilizadores e organizações de várias dimensões. Segundo a Gartner, 20% a 50% de todas as chamadas ao help desk são para redefinições de palavras-passe.” De acordo com uma estatística do Gartner, 60% das interações da central de serviços de TI são relacionadas a redefinições de senhas. Este facto demonstra que as pessoas, normalmente, se esquecem das passwords.
Quando se trata de uma compra, os consumidores abandonam um terço das compras online, devido ao esquecimento de senhas e à necessidade de as redefinir. Sobre isto, uma pesquisa da Experian descobriu que cerca de 75% das empresas ainda temem incomodar os clientes com a introdução do MFA, que exige que os utilizadores verifiquem as suas identidades.
Até agora, a maioria dos componentes completamente sem senha apareceu para usos de nicho, embora o eBay tenha surgido como o primeiro grande site a dispensar totalmente as senhas.
Foi, até, criada uma aliança que tem como propósito o incentivo da utilização de outras formas de autenticação, a Aliança FIDO (Fast Identity Online Aliance), que inclui empresas como a Google, o Facebook, a Paypal, a Visa e a Amazon. Contudo, esta adoção tem sido lenta. A título exemplificativo, o Dropbox tem utilizado esta forma de identificação, mas como uma segunda camada de segurança de passwords, e não como o que se pretendia, que fosse a linha de defesa, a primeira opção. Já a Google, como forma de estimular outras formas de autenticação, optaram por melhorar o isolamento de sites, garantindo, desta forma, a segurança dos utilizadores.
Apesar de ser pouco provável o desaparecimento completo destas palavras-chave, elas começam a ser secundarizadas face a outros métodos mais sofisticados, modernos, seguros e fortes como o FIDO2, como se pode comprovar pelos telemóveis, que quando a impressão digital ou a de rosto não funcionarem, é pedida a introdução do PIN.
No entanto, o consenso é que computadores e sistemas ainda vão utilizar códigos por muito tempo como forma de autenticação, por sua vez, os utilizadores já não. As alternativas, passam por aplicações geradoras de senhas, que criam, guardam e preenchem as senhas automaticamente, novos meios de verificar a biometria e o uso de dispositivos físicos.
Assim, disponibilizamos 5 tecnologias que irão modificar a forma como conhecemos as senhas:
Aplicações de Autenticação
Autenticadores em forma de apps já estão a substituir as passwords. Desde 2018, a Microsoft permite usar o Microsoft Authenticator para fazer login em serviços da empresa sem ser preciso digitar códigos. O recurso precisa de ser configurado somente uma vez para permitir novas entradas. É necessário apenas clicar numa notificação que chega via telefone, que, por sua vez, já é protegido por leitura de impressões digitais ou faciais. Um recurso similar já é usado pela Google, Apple e outras empresas quando a autenticação de dois fatores está ativada, mas, por enquanto, só a fabricante do Windows permite usar esse recurso sem ser preciso colocar nenhuma senha.
Gestores de Passwords
Funcionam com qualquer site, criando senhas fortes de forma automática. Depois deste passo concluído, guardam os códigos na Cloud e preenchem formulários de login sem que seja necessário inserir nenhuma senha. No entanto, geralmente, ainda requerem um primeiro login com uma password master, que o utilizador precisa de saber. A Android e a Apple já fazem este preenchimento automático, eliminando o primeiro login, uma vez que já possuem a possibilidade do login biométrico. No entanto, ainda é necessário saber o código, antes de os códigos serem gravados no cofre digital.
Protocolos Empresariais
Funcionam como iniciativas para eliminar as senhas no ambiente empresarial. Algumas redes corporativas já integram os servidores de identidade com os provedores de serviço para que somente com uma autenticação o colaborador tenha acesso a todos os programas de que precisa, sem efetuar diversos logins.
FIDO2
Já aqui explicado, funciona como um método de eliminar as senhas através da biometria. No entanto, os criadores afirmam não ser suficientemente seguros uma vez que o perigo reside na exposição dos dados biométricos, como o rosto, as impressões digitais e oculares, que se encontram, desta forma, à vista de todos e pode ser roubado por hackers especialistas do assunto. Além disso, em caso de invasão da conta, não é possível alterar a biometria, como acontece com as passwords. Assim, o objetivo desta tecnologia, é a combinação de uma chave física com uma identificação biométrica e, ainda, com uma informação que apenas o utilizador pode saber, como uma senha ou uma frase. Desta forma, o processo fica ainda mais seguro.
Biometria Cerebral e ADN
Um dos métodos que se encontra ainda em testes. A Estónia já está a realizar programas de análises genéticas como meio de prevenir doenças, sendo esta iniciativa vista como o primeiro passo para o uso desta tecnologia. No entanto, mais uma vez, existe a desvantagem de não ser possível alterar o padrão da biometria, em caso de invasão.
É aqui que surge um novo tipo de biometria, a cerebral, que consiste num código criado a partir de ondas cerebrais que são geradas a partir da visualização de um conjunto de imagens. Apesar de ser de difícil implementação, dado que é necessária a instalação de um scanner cerebral no device, seria, indubitavelmente, à prova de hackers, visto que em caso de invasão, o conjunto de imagens alterava.
De facto, a corporativa LastPass afirma que, em média, um colaborador, gere, em média, quase 200 credenciais. No entanto, apesar de normalmente atenderem aos requisitos do sistema de segurança e complexidade, continuam a ser fáceis de desvendar para os hackers.
Até há uns anos, não existia nenhuma outra forma de eliminar as senhas dos sites, aplicações e dispositivos da Internet, sendo transmitido por todo o digital, as credenciais de qualquer indivíduo. Isto, para hackers experientes, era um método fácil de roubar senhas e documentos sigilosos de forma lucrativa. Hoje, as senhas com 8 caracteres podem ser desvendadas em apenas duas horas e meia.
Apesar de esta transformação estar a ser empregue em várias empresas, nunca vai ser totalmente utilizado, visto que, segundo Ryan da Forrester “Há infraestruturas, sistemas e aplicativos em que é simplesmente impossível ficar sem senha – mas as organizações podem começar a implementar sem senha sistemas hoje.“. Por sua vez, Simons, da Microsoft, afirma que “As senhas podem nunca desaparecer completamente”.
Quanto ao que se espera do futuro, Andrew Shikiar, diretor executivo e CMO da FIDO Alliance, defende que “O primeiro passo é tirar a senha das mãos do usuário. O próximo passo é tirar as senhas dos servidores. Isso mudará fundamentalmente a experiência do utilizador e representará um grande salto em frente na segurança cibernética. As empresas sairão do negócio de redefinição de senha de uma vez por todas e melhorarão a segurança.“ Da mesma forma, mais uma vez, Sean Ryan, sugere que “as empresas comecem a converter para aplicações sem senha por meio de aplicações baseadas em nuvem e software como serviço (SaaS)”. Ainda, “se houver uma solução IDaaS [identidade como serviço] baseada nisso e usar o método proxy para voltar e proteger as credenciais de senha da exposição, enquanto permite que as pessoas usem uma abordagem de login único, isso é sem senha“.
É, igualmente importante garantir que as pessoas se sentem confortáveis ao realizar o login através do Face ID, Touch ID, Voice ID e outras biometrias. No mesmo sentido, é essencial oferecer maneiras diferentes de autenticação, incluindo métodos não biométricos, como um pin. Para alguns, isso pode ajudar a aliviar as preocupações com a privacidade.
A verdade é que, apesar de existirem, atualmente, métodos que permitam uma utilização secundária das passwords, é importante, independentemente de qualquer situação, possuir uma password forte e que varie de plataforma para plataforma, para que, desta forma, a probabilidade de sofrer um ataque virtual, seja mais reduzida.
A ActiveSys mantém-no informado e seguro.