Maçã, Google e Microsoft anunciaram esta semana que em breve oferecerão suporte a uma abordagem de autenticação que evita totalmente as senhas, exigindo que os usuários simplesmente desbloqueiem seus smartphones para fazer login em sites ou serviços online. Especialistas dizem que as mudanças devem ajudar a evitar muitos tipos de ataques de phishing e reduzir a carga geral de senhas para os usuários da Internet, mas esteja avisado que um verdadeiro futuro sem senha para a maioria dos sites ainda pode demorar anos.

Os gigantes da tecnologia fazem parte de um esforço liderado pelo setor para substituir senhas que são facilmente esquecidas, comumente roubadas por meio de esquemas de malware e phishing, ou vazadas e vendidas on-line após violações de dados corporativos.

Apple, Google e Microsoft são alguns dos contribuintes mais ativos para um padrão de login sem senha promovido pela Aliança FIDO (“Fast Identity Online”) e o Consórcio da World Wide Web (W3C), grupos que trabalharam com centenas de empresas de tecnologia na última década para desenvolver um novo padrão de login que funciona da mesma maneira em vários navegadores e sistemas operacionais.

De acordo com a FIDO Alliance, os usuários podem fazer login em sites com a mesma ação que realizam várias vezes ao dia para desbloquear seus dispositivos – incluindo um PIN do dispositivo ou biometria, como impressão digital ou digitalização de rosto.

“Esta nova abordagem protege contra phishing e torna o login radicalmente mais seguro em comparação com senhas e tecnologias multifatoriais herdadas, como senhas de uso único enviadas via SMS”, escreveu a aliança em 5 de maio.

Sampath SrinivasDiretor de autenticação de segurança do Google e presidente da FIDO Alliance, disse que sob o novo sistema, seu telefone armazena uma credencial FIDO chamada “Passkey”, que é usada para desbloquear sua conta online.

“A senha torna o login muito mais seguro porque é baseado em criptografia de chave pública e só é revelada à sua conta online quando você desbloqueia o telefone”, escreveu Srinivas. “Para fazer login em um site em seu computador, basta ter o telefone por perto e ele simplesmente solicitará que você o desbloqueie para acesso. Depois de fazer isso, você não precisa mais do seu telefone e pode fazer login simplesmente desbloqueando seu computador.”

Quando ZDNetGenericName Observações, Apple, Google e Microsoft já oferecem suporte a esses padrões sem senha (por exemplo, “Fazer login com o Google”), mas os usuários devem fazer login em cada site para usar a funcionalidade sem senha. Com este novo sistema, os usuários podem acessar automaticamente sua chave de acesso em muitos de seus dispositivos – sem precisar registrar novamente cada conta – e usar seu dispositivo móvel para fazer login em um aplicativo ou site em um dispositivo próximo.

John UlrichDiretor de Pesquisa da Instituto de Tecnologia SANSchamou o anúncio de “de longe o esforço mais promissor para resolver o desafio da autenticação”.

“A parte mais importante deste padrão é que os usuários não precisam comprar um novo dispositivo, eles podem usar dispositivos que já possuem e sabem como usar como autenticadores”, disse Ullrich.

Steve Bellovinum professor de ciência da computação na Universidade de Columbia e um dos primeiros pesquisador e pioneirochamou o esforço sem senha de um “grande passo à frente” na autenticação, mas disse que levará muito tempo até que muitos sites se atualizem.

Bellovin e outros dizem que um cenário potencialmente complicado neste novo esquema de autenticação sem senha é o que acontece se alguém perder seu dispositivo móvel ou seu telefone quebrar e não conseguir lembrar sua senha do iCloud.

“Eu me preocupo com as pessoas que não podem comprar um dispositivo adicional ou simplesmente substituir um dispositivo quebrado ou roubado”, disse Bellovin. “Estou preocupado em recuperar senhas esquecidas para contas na nuvem.”

Google diz Mesmo se você perder o telefone, “suas chaves de acesso são sincronizadas com segurança com o novo telefone a partir do backup na nuvem, para que você possa continuar exatamente de onde o dispositivo antigo parou”.

A Apple e a Microsoft também têm soluções de backup em nuvem que os clientes que usam essas plataformas podem usar para recuperar um dispositivo móvel perdido. No entanto, Bellovin disse que muito depende da segurança com que esses sistemas em nuvem são gerenciados.

“É fácil adicionar a chave pública de outro dispositivo a uma conta sem autorização?”, perguntou Bellovin. “Acho que seus protocolos tornam isso impossível, mas outros discordam.”

Nicholas WeberDocente do Departamento de Ciência da Computação Universidade da California, Berkeleydisse que os sites ainda precisam ter um mecanismo de recuperação para o cenário “você perdeu seu telefone e senha”, que ele descreveu como “um problema muito difícil de resolver com certeza, e já uma das maiores fraquezas do nosso sistema atual”. .

“Se você esquecer a senha e perder seu telefone e puder recuperá-lo, agora é um grande alvo para os invasores”, disse Weaver em um e-mail. “Se você esquecer a senha e perder seu telefone e NÃO PODE FAZER NADA, então você perdeu seu token de autorização que é usado para fazer login. Tem que ser o último. A Apple tem a infraestrutura para suportar isso (iCloud Keychain), mas não está claro se o Google tem.”

No entanto, toda a abordagem FIDO é uma ótima ferramenta para melhorar a segurança e a usabilidade.

“É um passo muito, muito bom e estou animado para ver isso”, disse Weaver. “O uso do telefone de autenticação forte do proprietário do telefone (se você tiver uma senha decente) é muito bom. E pelo menos para o iPhone, você pode torná-lo resiliente, mesmo para violações de telefone, já que é o enclave seguro que lidaria com isso, e o enclave seguro não confia no sistema operacional host.”

Os gigantes da tecnologia disseram que os novos recursos sem senha serão lançados nas plataformas da Apple, Google e Microsoft “no próximo ano”. No entanto, especialistas disseram que provavelmente levará mais alguns anos até que sites menores adotem a tecnologia e abandonem as senhas completamente.

Pesquisas recentes mostram que muitas pessoas ainda reutilizam ou reciclam senhas (alterando ligeiramente a mesma senha), o que representa um risco de controle da conta se essas credenciais forem eventualmente expostas em uma violação de dados. UMA relatório em março pela empresa de cibersegurança SpyCloud descobriu que 64% dos usuários reutilizam senhas em todas as contas e que 70% das credenciais comprometidas em violações de segurança anteriores ainda estão em uso.

Um whitepaper de março de 2022 sobre a abordagem FIDO está disponível aqui (PDF). Existe um FAQ sobre isso aqui.