A boa etiqueta da proteção e da cibersegurança na internet prevê senhas longas, com números, letras maiúsculas, símbolos e que sejam impossíveis de serem memorizadas. Pode ser seguro, mas também torna a vida mais difícil. Para tentar contornar esse cenário, as gigantes da tecnologia estão tentando costurar um mundo sem senhas - mas que mantenha a segurança do método antigo de autenticação.
A busca por esse novo mundo tem sido a principal missão do consórcio internacional Fido (acrônimo em inglês para “rápida identificação online”). Formado em 2012, o grupo tem como objetivo fornecer um protocolo único de autenticação para todas as credenciais na internet, garantindo segurança e simplicidade para o usuário. Neste ano, a iniciativa ganhou um reforço de peso: o apoio de nomes como Apple, Microsoft e Google.
Leia também
Na prática, o mundo sem senhas vai permitir que o usuário consiga entrar em redes sociais, no e-commerce ou em instituições financeiras com uma única autenticação. Não vai ser mais necessário digitar o login e a senha, que normalmente estão sujeitos a interceptações ou vazamentos.
A façanha é realizada por meio de um protocolo (batizado de “passkey” ou “chave de acesso”) que pode ficar armazenado tanto em um dispositivo físico de segurança (como um token de banco) ou guardado diretamente no sistema operacional de celulares e tablets. Nos dois casos, o protocolo funciona como uma chave-mestra para autenticar todas as credenciais na internet - no segundo caso, os leitores biométricos dos aparelhos (de rosto, dedos ou íris) servem para validar a segurança da passkey.
Todo o processo é criptografado e é armazenado localmente no dispositivo — em outras palavras, as passkeys estão embaralhadas e só podem ser visualizadas nos aparelhos de segurança do usuário. No caso de acesso a sites pelo PC, o celular pode funcionar como o dispositivo físico independente.
Até aqui, a indústria de segurança apostava em biometria e em aplicativos geradores de senhas como duas soluções separadas. Mas a proposta de abandonar as senhas é unir as duas ferramentas: neste caso, a biometria é utilizada para autenticar o usuário, enquanto uma senha forte aleatória criptografada é gerada pelo sistema — algo que parece uma evolução dos instrumentos anteriores.
“A premissa básica é que o dispositivo faça todo o trabalho e que você não faça nada”, explica ao Estadão Sampath Srinivas, diretor de gestão de produtos de autenticação no Google e também presidente do Fido. “Para o usuário comum, é como se o computador ou o telefone automaticamente digitasse a senha no site, similar a um gerenciador de senhas, mas de forma mais segura e simples, porque é o aparelho que vai cuidar disso para você.”
Sampath Srinivas, diretor do Google e presidente do Fido
O processo pode parecer como a autenticação de dois fatores, outra etapa que a indústria criou para autenticar os usuários e evitar golpes. Mas, nesse caso, a passkey complementa automaticamente a informação de login, e não traz uma nova fase de verificação, como acontece no envio de SMS com código de acesso único, por exemplo.
Para a Vanessa Pádua, diretora de cibersegurança da Microsoft na América Latina e Caribe, o objetivo desse método é entregar conveniência e segurança para o usuário. “É uma solução que visa a fortalecer a identidade do usuário, visto que não dá para confiarmos inteiramente nas senhas”, diz a executiva.
Problema das senhas
A dupla “login” e “senha” é aliada antiga da internet. O formato provou-se eficiente ao longo das décadas, até pela ausência de tecnologias que possibilitaram outras formas de autenticação na internet.
“Nos anos 2000, eram inacessíveis ou pouco utilizadas as tecnologias de autenticação biométrica. Era comum encontrar biometria em grandes corporações para fins de segurança física, e não digital”, explica Alexandre Bonatti, diretor de engenharia da empresa de cibersegurança Fortinet. “Por isso, credenciais de acesso com login e senha são amplamente utilizadas. São baratas, simples de serem implementadas e, para o usuário, é uma experiência cômoda.”
O problema é que as senhas tornaram-se cada vez mais fáceis de serem quebradas — em alguns casos, notebooks têm capacidade computacional para romper a barreira numérica de um passe de entrada. “Conforme evoluem as ferramentas dos criminosos, as senhas também deveriam ficar mais complexas, acompanhando a evolução das máquinas”, afirma Rodrigo Avelino, professor de cibersegurança do Insper.
Alexandre Bonatti, diretor da Fortinet
Parte do problema também está nos megavazamentos de dados, que expõem informações pessoais de milhares de pessoas, permitindo que criminosos consigam criar contas e pedir empréstimos em nome das vítimas. O fenômeno se agravou em 2021, devido ao salto na digitalização visto durante a pandemia. Tudo isso colaborou para que as senhas precisassem se tornar muito complexas, o que aumenta a dificuldade de uso pelas pessoas. Não apenas isso: são necessárias não apenas senhas complexas, mas também únicas para cada serviço.
“Os maiores incidentes de segurança estão baseados nas senhas”, diz Avelino. “E a complexidade exigida não é fácil para os usuários, sobretudo aqueles que não têm tanta afinidade com informática.”
É isso que o “mundo sem senhas” pretende solucionar. “No fim das contas, roubar senhas é muito fácil para os criminosos”, conclui Bonatti.
Da teoria à prática
O Fido já está em vigor há anos, mas o método de autenticação ganhou um impulso neste ano, após gigantes da tecnologia formalizarem a parceria em maio. Desde então, tanto o Google quanto a Apple anunciaram atualizações em seus sistemas, com intuito de promover o abandono de senhas.
Em celulares Android e no navegador Google Chrome, o recurso de “passkey” (chamado de “chave de acesso” pelo Google) está disponível desde meados de outubro. Já no iPhone e outros dispositivos da Apple, a “chave-senha” pode ser encontrada em atualizações mais recentes do sistema, como iOS 16 e similares. Para ambos os sistemas funcionarem, no entanto, é preciso que desenvolvedores de aplicativos e sites online permitam o login com padrão Fido.
“A entrada das Big Techs no padrão Fido contribui muito para a popularização desses protocolos”, explica Kalinka Branco, professora do Instituto de Ciências Matemáticas e Computação da Universidade de São Paulo (ICMC-USP). “A partir do momento em que impuserem isso, as pessoas vão se familiarizar e passar a fazer uso desse método.”
Kalinka Branco, professora da USP
Para Sampath Srinivas, do Google, o “mundo sem senhas” deve levar um tempo para acontecer, mesmo com o empurrão das gigantes. Um exemplo está nos dispositivos antigos em funcionamento, que não vão conseguir receber a funcionalidade e atualização de software necessários para operar com o padrão Fido.
“O que vai acontecer é ter duas opções de autenticação, com e sem senha, até que os usuários usem menos e menos as senhas”, diz. “Isso deve levar cerca de pelo menos dez anos.”