Algumas pessoas não conseguem parar de falar sobre a morte da senha. As senhas são antigas, inseguras e facilmente vazadas. Em breve, todos estaremos usando biometria, chaves de segurança de hardware e outras soluções futurísticas – certo? Bem, não tão rápido.
Falamos com o chefe de segurança da 1Password , Jeffery Goldberg, que disse ser “cautelosamente otimista de que desta vez poderemos ver uma falha no problema de senha”.
Essa é a visão otimista – e está longe de ser a morte das senhas.
Índice
Por que as pessoas querem eliminar a senha
Ao discutir o objetivo da empresa de “ Construir um mundo sem senhas ” , em maio de 2018, a Equipe de Segurança da Microsoft escreveu:
“Ninguém gosta de senhas. Eles são inconvenientes, inseguros e caros. Na verdade, não gostamos tanto deles que estivemos ocupados trabalhando tentando criar um mundo sem eles – um mundo sem senhas. ”
As senhas tornaram-se mais incômodas com o tempo, e todos nós ficamos sabendo dos riscos de reutilizá-las. Se você usa a mesma senha em vários sites e há um vazamento de senha, a sua pode ser usada para acessar sua conta em outro site. Portanto, você precisa escolher uma senha forte e exclusiva para cada serviço que usar. Já se foi o tempo de reutilização de uma senha curta e simples em alguns sites.
Para a maioria das pessoas que não têm memórias sobre-humanas, é impossível lembrar uma senha forte e única para cada conta online. É por isso que recomendamos gerenciadores de senhas – eles se lembram de todas essas senhas fortes e exclusivas para você. Basta lembrar sua senha mestra, o que é muito mais fácil do que lembrar de 100 e muito mais seguro do que reutilizar a mesma.
Mesmo com um gerenciador de senhas, porém, isso não é totalmente seguro. Alguém com um keylogger em seu sistema pode capturar sua senha e fazer login como você. É por isso que os serviços agregam segurança adicional. Freqüentemente, digitamos uma senha e, em seguida, temos que autenticar uma segunda vez com um código ou chave.
Existe uma maneira melhor?
O que pode substituir a senha?
Goldberg disse que viu “esquema após esquema” propondo eliminar as senhas nos últimos vinte anos – muitos dos quais não aprenderam com o que falhou no passado. Mas os mais novos podem ter uma chance melhor de sucesso devido a avanços como dispositivos locais mais poderosos.
A biometria pode substituir uma senha. Você pode usar o Touch ou Face ID (biometria) para fazer login no seu iPhone em vez de digitar um PIN. Os telefones Android também possuem recursos de impressão digital e login facial.
Agora você também pode criar contas da Microsoft “sem senha” para entrar no Windows. Seu nome de usuário é o seu número de telefone e a “senha” que você digita é um código enviado para o seu número de telefone por SMS.
Você também pode usar uma chave de segurança física em vez de uma senha para autenticar suas contas online. Você mantém a chave com você (você pode até mesmo mantê-la no seu chaveiro) e usa-a via USB, NFC ou Bluetooth na hora de fazer login.
Os telefones também podem substituir as senhas. O Google agora permite que dispositivos Android funcionem como teclas FIDO2 . Também pode ser necessário autenticar com uma impressão digital no telefone ao fazer login em um site no laptop.
Muitas empresas tentam reduzir a dependência de senhas oferecendo provedores de “login único”. É quando você entra no Facebook, Google, etc. e, em seguida, usa essa conta para entrar em outros serviços – sem a necessidade de senhas adicionais.
“Substituições” de senha não substituem senhas
Porém, há um grande problema aqui. As tecnologias apresentadas como “substituições” de senhas não são realmente substituições – pelo menos, ainda não.
A biometria, como Face ou Touch ID, ainda exige uma senha e uma senha Apple ID em seu dispositivo. Algumas tarefas também exigem um PIN para fins de criptografia em segundo plano. Os recursos biométricos no Android e no Windows Hello no Windows 10 funcionam da mesma maneira – basicamente, como um recurso de conveniência. É mais fácil fazer login no seu dispositivo porque você não precisa digitar uma senha todas as vezes, mas isso não substitui a sua senha.
Uma conta sem senha que envia códigos de telefone para você também não é ótimo. Em vez de uma senha para sua conta, este serviço gera uma nova cada vez que você tenta entrar e a envia via SMS. Isso é menos seguro do que o método tradicional de uma única senha mais um código de segurança enviado a você quando você faz login.
Infelizmente, os invasores roubam números de telefone facilmente em muitas situações, o que torna isso menos seguro. É um ótimo método para alcançar pessoas em países onde os números de telefone são onipresentes e reduz o atrito de se inscrever em uma conta, e é por isso que a Amazon também oferece isso. Mas não é uma boa solução substituir senhas.
A maioria dos serviços que adotaram chaves de segurança física as usam como uma opção de autenticação adicional . Você ainda entra com sua senha e fornece a chave de segurança como uma confirmação secundária para entrar. A capacidade de usar uma chave sem uma senha ainda está muito longe.
Também há um problema de privacidade com os serviços de logon único. Quando você clica em “Sign in With Google” ou “Sign in With Facebook,” a operadora de serviço – Google ou Facebook – sabe no que você está se conectando.
Sempre haverá senhas (em segundo plano)
Mesmo que o sonho do Google de substituir as senhas por telefones se concretize, isso não eliminará a senha. The Verge resumiu os planos do Google desta forma: “Se você já estiver conectado ao seu telefone, isso pode ser usado para ‘inicializar’ o próximo dispositivo que você deseja conectar à sua conta do Google.”
Você pode evitar usar sua senha por muito tempo, mas ela ainda está lá em segundo plano. Afinal, você precisará dele se perder todos os seus dispositivos.
As senhas ainda são comuns. Eles são fáceis de configurar e usar. As “substituições” de senha oferecem mais conveniência ou segurança extra. Mas você sempre precisará de uma maneira de recuperar o acesso se perder seu dispositivo e não puder usar sua biometria ou segurança de hardware.
“Acho que sempre haverá casos extremos que exigem senhas”, disse Matt Davey, diretor de operações da 1Password. Por exemplo, Sign in With Apple no iOS 13 oferece uma opção de login baseada na web que usa sua senha Apple ID quando você faz login em um dispositivo não Apple. Uma senha funciona em qualquer lugar e é o padrão universal quando biometria sofisticada ou recursos de segurança de hardware não estão disponíveis.
Como Goldberg disse, “As senhas são muito, muito fáceis” para os sites implementarem. “Eles ainda são a coisa mais simples para os operadores de serviço usarem.”
É por isso que 1Password está otimista com o futuro dos gerenciadores de senhas. A empresa disse que viu mais novos usuários, mesmo com o aumento da concorrência e empresas como Apple, Google e Mozilla levando mais a sério o gerenciamento de senhas.
O que o futuro guarda?
O sonho de matar a senha está muito distante. Mesmo que o processo corra bem, o melhor cenário é avançarmos lentamente, com alternativas mais fáceis de senhas.
Algum dia, as senhas podem ser tão relegadas para segundo plano que se tornarão um método de recuperação de conta há muito esquecido. Mas eles provavelmente ainda existirão por muito tempo. A batalha para bani-los do uso diário para a maioria das pessoas será longa e árdua. Mas matar totalmente as senhas? Isso é ainda mais difícil de imaginar.
