Senhas: o evento de extinção está se aproximando?
As senhas são a pedra no sapato dos usuários e das equipes de segurança. Apesar dos anos que as equipes de segurança têm passado educando os usuários para não usar 123456 como senha, não utilizar as mesmas senhas em várias contas pessoais e profissionais e implementar regras de senha ainda mais rigorosas e investimentos em ferramentas de gerenciamento de senhas, essas combinações de letras, números e caracteres especiais continuam sendo um prato cheio para invasores. Mas agora, podemos estar à beira da extinção das senhas da forma como as conhecemos e migrando para a autenticação sem senha.
Os eventos de extinção são comumente associados a eventos que causam uma súbita diminuição da biodiversidade no planeta. Muitos deles foram associados a vulcões e asteróides que afetaram o calor do planeta ou a quantidade de CO2 no ar. Embora isso possa ser impactante, dadas as notícias recentes sobre as mudanças climáticas, também acho relevante quando olhamos para eventos menos dramáticos que ainda afetam uma grande quantidade de pessoas.
Muitos de nós já estão familiarizados com os conceitos relacionados à autenticação multifator, que normalmente envolve pelo menos dois destes três fatores:
algo que você sabe (senha)
algo que você é (impressão digital ou outro fator biométrico)
algo que você tem (celular ou outro dispositivo físico)
A primeira sempre foi a opção padrão, o primeiro método que qualquer desenvolvedor de aplicativos ou gerente de TI usa para permitir o acesso. As senhas são algo com que nos sentimos familiarizados, embora o motivo não seja porque gostamos delas. Elas são vistas como um mal necessário. Quantas pessoas realmente gostam de usar, lembrar e criar novas senhas todos os dias? Considere as centenas de serviços que usamos e redes que acessamos, ou quantos controlamos e precisamos gerenciar.
Eu verifiquei recentemente as senhas armazenadas no meu aplicativo gerenciador de senhas e contei 258 logins diferentes para aplicativos relacionados ao trabalho, viagens e redes sociais. Eles abrangiam itens como pontos de fidelidade da companhia aérea, minha operadora de celular, detalhes do meu salário e a possibilidade de pedir uma bebida em um bar durante o lockdown da COVID-19.
Mas uso um gerenciador de senhas, então elas são todas complexas e únicas, ou relativamente seguras, espero. Caso contrário, haveria o perigo de a senha que eu uso no aplicativo para pedir bebidas no bar ser a mesma do provedor da folha de pagamento, corretor da bolsa ou e-mail corporativo. Se fosse esse o caso, haveria um risco real de todas as outras contas estarem em risco de serem invadidas se uma dessas credenciais vazasse (fosse hackeada) na Internet. No entanto, os gerenciadores de senhas, ainda que sejam eficazes, nunca serão aceitos pela população em geral, pois muitos usuários não "verão" o benefício. Eles também podem ser bastante complicados e complexos para usuários com menos experiência em tecnologia.
Vazamentos de credenciais estão cada vez mais frequentes, principalmente desde que o lockdown foi imposto na maioria das regiões do mundo e mais pessoas têm trabalhado de casa e usado a Internet com mais frequência para uma série de serviços, como entregas de supermercado, streaming de vídeo e qualquer outra coisa que possa ser entregue à sua porta. Tanto é verdade que, no famoso site haveibeenpwned.com, onde credenciais vazadas são postadas para que usuários legítimos possam verificar se suas credenciais foram expostas, agora lista quase 11,5 bilhões de contas. Quando você percebe que o número de usuários da Internet é de apenas um pouco mais de 4,5 bilhões, isso significa que cerca de 2½ credenciais de cada usuário no planeta foram vazadas e agora estão nas mãos de criminosos.
Os bandidos sabem que não somos bons com senhas, então podem pulverizar essas senhas em sites de todo o mundo na esperança de que encontrem alguma que funcione. Quando consideramos o fato de que a taxa de sucesso pode chegar a 1%, fica claro que essa é uma forma eficaz de comprometer contas em todo o mundo.
É por isso que os outros dois elementos estão cada vez mais sendo usados para verificar os usuários que fazem login apenas com uma senha. Você pode receber uma mensagem de texto ou um e-mail para verificar quem você diz ser. Mas, novamente, este é um passo adicional complicado que muitos serviços online não querem impor a seus clientes; copiar e colar um código de um SMS em um website não é exatamente "simples", que é a aspiração do proprietário do site para garantir uma experiência positiva ao usuário.
Então, se queremos uma experiência boa para nossos usuários, por que precisamos continuar exigindo senhas? Tirando o fato de elas serem onipresentes, sabemos das desvantagens e dos riscos. Poderíamos usar um dos outros dois fatores em vez disso: quando você acessar um website no qual tem uma conta, ele enviará uma notificação para o seu telefone celular que você só precisa confirmar. Não é necessário lembrar uma senha, e ela se enquadra na categoria "algo que você tem". Se exigirmos que o reconhecimento seja uma impressão digital, temos uma autenticação de dois fatores: "algo que você tem" e "algo que você é". Isso funcionaria em aplicativos da Web e aplicativos móveis sem diferenciação.
A inclusão costuma ser vista como um grande obstáculo quando falamos de alternativas para senhas, mas as próprias senhas e todas as páginas de redefinição/captcha usadas em torno delas sempre foram vistas como exclusivas até certo ponto. Considerando que aproximadamente 20% da população mundial falante de inglês é afetada pela dislexia, fica claro que a posição atual da senha está longe do ideal.
Portanto, as alternativas podem realmente ser mais inclusivas do que o que já existe. Reconhecimento facial, digitalização de impressões digitais ou reconhecimento de voz são alternativas que podem ser usadas no lugar de uma senha. Nenhum precisa ser lembrado e todos são exclusivos. A atual pandemia acelerou muitas tecnologias nos últimos 18 meses que tornam nossas vidas mais fáceis e seguras, então por que ainda nos prendemos às senhas?
Pode não ser um evento de extinção de dinossauros para senhas, mas logo elas poderão ser vistas seguindo o mesmo caminho que o pássaro dodô.
