Por que o futuro não tem senha (e como começar)

Mulher olhando para um smartphone com uma mão, enquanto segura o tablet com a outra.
Eugenio Marongiu / Shutterstock.com

Cansado de lembrar ou gerenciar longas listas de senhas? Boas notícias: o futuro não tem senha. Você pode até ser capaz de ficar sem senha (ou quase o suficiente) para alguns serviços que você já usa agora.

O que significa “sem senha”?

Um login sem senha elimina a necessidade de fornecer uma senha, seja uma que você se lembre ou que monitore em um gerenciador de senhas . Você ainda precisará se lembrar de um identificador como um nome de usuário ou um endereço de e-mail, mas irá provar sua identidade por outros meios.

Existem vários graus de implementações sem senha. O objetivo final para muitos é remover as senhas por completo, o que significa que não é possível fazer login com uma senha. Algumas abordagens que já existem permitem que você faça o login com uma senha opcional, enquanto ainda permitem que você verifique sua identidade por outros meios.

Para se livrar das senhas, métodos diferentes são usados ​​para verificar se você é quem diz ser. Pode ser um aplicativo autenticador móvel ao qual apenas você tem acesso, biometria como uma impressão digital ou digitalização facial , um dispositivo físico do mundo real como um cartão-chave ou pen drive USB ou abordagens menos seguras como SMS ou códigos de e-mail.

Pen drive USB prateado em formato de chave
Robert Fruehauf / Shutterstock.com

Pode ser necessário usar mais de um método para provar sua identidade. A autenticação de dois fatores demonstrou a importância de uma abordagem multifacetada e, dependendo da abordagem adotada por qualquer serviço ao qual você está tentando obter acesso, isso pode ainda ser verdade no futuro sem senha.

Avanços foram feitos na implantação de logins sem senha, graças a novos padrões como a Autenticação da Web (WebAuthn). Essa abordagem elimina a necessidade de dados biométricos, como registros de impressões digitais ou semelhanças faciais, a serem armazenados em um servidor central, o que pode ter impactos de segurança devastadores que nem mesmo uma violação de senha pode corresponder.

A autenticação da Web permite que dados confidenciais permaneçam no dispositivo, enquanto apenas uma chave é enviada ao servidor. A verificação ocorre localmente em seu dispositivo, que é então verificada usando uma chave pública no servidor. Isso elimina a necessidade de proteger as informações secretas em um servidor (como uma senha), uma vez que o segredo só precisa existir no seu dispositivo local.

Recomendado:  Como combinar imagens em um arquivo PDF no Windows

Quais são os benefícios de não usar a senha?

Um dos maiores benefícios de não usar senha é a simplicidade. Embora a maioria das pessoas já tenha se adaptado ao uso de gerenciadores de senhas, ainda existem algumas senhas (como senhas mestras) que precisam ser mantidas em sua cabeça. Afinal, você não pode armazenar a senha do banco de dados no banco de dados que contém suas senhas.

Ao ficar sem senha, você pode verificar sua identidade sem ter que se lembrar de nada. Pode ser necessário autenticar com um aplicativo móvel ou escanear seu rosto ou impressão digital e pronto.

Nem todo mundo usa um gerenciador de senhas, mesmo que devesse. Alguns ainda contam com a abordagem do “pequeno livro negro”, enquanto outros não usam senhas exclusivas para cada novo serviço para o qual se inscrevem. Embora alguns serviços exijam autenticação de dois fatores, muitos não.

Um livro para suas senhas e logins de internet (não compre isto)
Tim Brookes

Dê uma olhada em Have I Been Pwned  para ver quantas violações de dados foram associadas ao seu endereço de e-mail e você verá rapidamente por que tantos estão desesperados para livrar o mundo das senhas.

Ao remover totalmente as senhas, você elimina um ponto fraco na segurança da conta. Isso não vai acontecer da noite para o dia e vai levar tempo para muitos chegarem a um acordo com um futuro que usa métodos alternativos de verificação. O mundo dos negócios já está adotando soluções como o YubiKey, uma vez que os custos associados à violação de senhas podem ser enormes.

Esse custo nem sempre significa dinheiro. Muitos serviços, como bancos e fundos de pensão, exigem que você processe redefinições de senha por telefone ou até mesmo por correio. Isso leva tempo para o banco e para o cliente. Soluções sem senha nem sempre estarão livres de atrito, mas colocam menos ênfase no usuário final para lembrar ou proteger uma sequência arbitrária de números, símbolos e letras.

Recomendado:  Como fazer seu dispositivo Android aparecer no File Explorer (se não estiver)

Quais serviços permitem que você use a senha sem senha?

No momento em que este artigo foi escrito, em novembro de 2021, apenas a Microsoft permitia que você usasse totalmente a senha . Isso significa que você pode remover totalmente a senha de sua conta e usar os serviços da Microsoft, incluindo Xbox, Microsoft 365 e Windows, sem precisar digitar ou colar uma senha.

Você pode fazer isso baixando o aplicativo Microsoft Authenticator para Android ou iOS e , em seguida, fazendo login em sua conta da Microsoft  em um navegador da web. Uma vez conectado, selecione “Opções de segurança avançadas”, em seguida, role para baixo até Segurança adicional e clique em “Ativar” ao lado da opção para uma conta sem senha.

Opção de conta sem senha da Microsoft

Como parte do processo, você será convidado a salvar alguns códigos de backup que podem ser usados ​​para fazer login em sua conta da Microsoft, caso perca o acesso ao aplicativo Microsoft Authenticator. Você pode sempre visitar o site de opções de segurança da Microsoft e desativar o recurso, que restaura o login com senha em sua conta posteriormente.

O Google também está se movendo em direção a um futuro sem senha, com a empresa anunciando em maio de 2021 que está “criando um futuro onde um dia você não precisará mais de uma senha”. Se você tiver um dispositivo Android, pode usar seu smartphone para fazer login na web, basta fazer login em sua Conta do Google, tocar em “Segurança” e selecionar “Configurar” ao lado de Usar seu telefone para fazer login.

A Apple também implementou logins sem senha em toda a web no Safari com iOS 15 e macOS 12 , lançado no final de 2021. O novo recurso “chaves de acesso no iCloud Keychain” agora está presente para os desenvolvedores começarem os testes, embora nada esteja pronto ou acessível em compilações de consumidor até o momento.

Garret Davidson da Apple explicou em uma sessão WWDC 2021 como sua abordagem alavanca o WebAuthn usando um par de chaves públicas e privadas:

Com pares de chaves públicas / privadas, em vez de uma senha, seu dispositivo cria um par de chaves. Uma dessas chaves é pública; tão público quanto seu nome de usuário. Pode ser compartilhado com qualquer pessoa e não é um segredo. A outra chave é privada … quando você cria uma conta, seu dispositivo gera essas duas chaves associadas. Em seguida, ele compartilha a chave pública com o servidor.

Agora, o servidor tem uma cópia da chave pública … a chave privada permanece no seu dispositivo e apenas esse dispositivo é responsável por protegê-la. Posteriormente, quando quiser entrar, você não enviará nenhum segredo ao servidor. Em vez disso, você prova que é sua conta, provando que seu dispositivo conhece a chave privada associada à chave pública de sua conta.

Em português simples: o dispositivo usa a chave pública para verificar, localmente no dispositivo, se você é quem diz ser por meio de “assinatura”. Visto que apenas sua chave privada pode produzir uma assinatura válida, apenas um dispositivo que conhece sua chave privada pode passar no teste. O servidor então verifica sua assinatura em relação à chave pública e decide se lhe concederá acesso.

Recomendado:  Como organizar uma apresentação de slides do Microsoft PowerPoint usando seções
Exemplo WebAuthn na sessão Apple WWDC 2021
maçã

Esta é uma visão geral básica de como o WebAuthn funciona e como a Apple pretende usá-lo para substituir as senhas em seus dispositivos quando combinado com tecnologias como reconhecimento facial e digitalização de impressões digitais.

Você já pode desativar os requisitos de senha para pagamentos Apple Pay , logins de dispositivos e downloads da App Store em seu iPhone, iPad e Mac, mas isso leva a mesma abordagem um passo adiante e a estende a outros serviços.

Uma abordagem sem senha não é perfeita

Nenhuma solução é perfeita, à prova de hack ou totalmente infalível. Você pode perder o acesso a um dispositivo ou deixar algo conectado que pode colocar suas contas em risco. Até mesmo o Face ID e o Touch ID podem ser explorados em indivíduos dormindo ou inconscientes, ou criando fac-símiles realistas dos dados biométricos que procuram.

Talvez o maior obstáculo seja a adoção e convencer a maioria das pessoas de que é melhor abrir mão de suas senhas em favor de uma nova maneira de fazer as coisas.

Mas uma solução imperfeita não é motivo para descartá-la completamente. As senhas estão desatualizadas e pouco práticas, e é hora de seguir em frente. A autenticação de dois fatores também não é perfeita, mas há motivos pelos quais empresas como a Apple (e em breve o Google) a exigem.

O mesmo vale para gerenciadores de senhas. Saiba por que  usar seu navegador como gerenciador de senhas pode ser uma má ideia .