{"id":19485,"date":"2022-05-30T10:58:30","date_gmt":"2022-05-30T13:58:30","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19485"},"modified":"2022-05-30T10:58:30","modified_gmt":"2022-05-30T13:58:30","slug":"passkey-future-without-passwords","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/passkey-future-without-passwords\/19485\/","title":{"rendered":"Um futuro sem senhas"},"content":{"rendered":"

O Dia Mundial das Senhas deste ano, tradicionalmente comemorado em maio, coincidiu com not\u00edcias relacionadas \u00e0s tr\u00eas grandes empresas de tecnologia: Google, Microsoft e Apple anunciaram<\/a> planos para uma nova tecnologia de substitui\u00e7\u00e3o de senhas.<\/p>\n

O padr\u00e3o est\u00e1 sendo desenvolvido pela FIDO Alliance, em conjunto com o World Wide Web Consortium (W3C), que basicamente define a apar\u00eancia e o funcionamento da internet. Esta \u00e9 uma tentativa bastante s\u00e9ria de abandonar as senhas em favor da autentica\u00e7\u00e3o baseada em smartphone, ou pelo menos \u00e9 o que parece, do ponto de vista do usu\u00e1rio.<\/p>\n

Vale lembrar, no entanto, que a \u201cmorte das senhas\u201d j\u00e1 \u00e9 discutida h\u00e1 cerca de uma d\u00e9cada. E as tentativas anteriores de acabar com esse m\u00e9todo irremediavelmente n\u00e3o confi\u00e1vel de autentica\u00e7\u00e3o do usu\u00e1rio n\u00e3o levaram a lugar nenhum \u2013 as senhas ainda est\u00e3o entre n\u00f3s. Este artigo discute as vantagens do novo padr\u00e3o FIDO\/W3C. Mas vamos come\u00e7ar reafirmando o \u00f3bvio: o que h\u00e1 de errado com as senhas?<\/p>\n

O problema com as senhas<\/h2>\n

A primeira desvantagem das senhas \u00e9 que elas s\u00e3o bastante f\u00e1ceis de roubar. Nos prim\u00f3rdios da internet, quando quase todas as comunica\u00e7\u00f5es entre computadores n\u00e3o eram criptografadas, as senhas eram transmitidas em simples textos. Com a multiplica\u00e7\u00e3o de pontos p\u00fablicos de acesso \u00e0 rede \u2013 em caf\u00e9s, bibliotecas e transportes \u2013 isso se tornou um problema real: um invasor poderia interceptar uma senha n\u00e3o criptografada sem ser notado.<\/p>\n

Mas a quest\u00e3o das senhas roubadas explodiu no in\u00edcio e meados da d\u00e9cada de 2010, ap\u00f3s uma s\u00e9rie de hacks de alto n\u00edvel em grandes servi\u00e7os de internet, com o roubo em massa de endere\u00e7os de e-mail e senhas de usu\u00e1rios. \u00c9 seguro dizer que todas as suas senhas de dez anos atr\u00e1s est\u00e3o por a\u00ed, flutuando em algum lugar de dom\u00ednio p\u00fablico. D\u00favida? Confira o \u00fatil servi\u00e7o HaveIBeenPwned<\/a>.<\/p>\n

\"Checando

HaveIBeenPwned permite que voc\u00ea cheque se suas senhas foram vazadas. Caso ela tenha mais de uma d\u00e9cada de vida, a resposta provavelmente \u00e9 sim<\/p><\/div>\n


\n<\/strong>Hoje em dia, \u00e9 claro, \u00e9 menos prov\u00e1vel que os vazamentos contenham senhas em textos simples: muitos servi\u00e7os de Internet j\u00e1 perceberam que armazenar informa\u00e7\u00f5es confidenciais do usu\u00e1rio n\u00e3o criptografadas \u00e9 uma receita certa para o desastre. Portanto, tem sido uma norma que as senhas sejam criptografadas \u2013 ou seja, armazenadas de forma criptografada.<\/p>\n

O problema aqui \u00e9 que, se a senha for simples, ela ainda poder\u00e1 ser extra\u00edda de um banco de dados criptografado com ataques de for\u00e7a bruta de todas as combina\u00e7\u00f5es poss\u00edveis, ou por um ataque de dicion\u00e1rio<\/a> . Descriptografar uma senha codificada na qual a original seja algo \u201csegredo\u201d ou \u201c123123\u201d \u00e9 brincadeira para crian\u00e7a. Este \u00e9 o segundo problema com as senhas: para ajudar na memoriza\u00e7\u00e3o, muitas pessoas usam senhas muito fracas que s\u00e3o f\u00e1ceis de extrair de um banco de dados vazado \u2014 mesmo que criptografadas.<\/p>\n

E o desejo de simplicidade e conveni\u00eancia leva diretamente ao terceiro problema com senhas: usar a mesma senha para contas e servi\u00e7os diferentes. Assim, um vazamento de dados de algum antigo f\u00f3rum online, no qual voc\u00ea nem se lembra de ter se registrado, pode resultar na perda de sua conta de e-mail principal porque voc\u00ea usou a mesma senha.<\/p>\n

\"Dif\u00edcil<\/a><\/p>\n

Senhas com algo a mais<\/h2>\n

O problema, \u00e9 claro, est\u00e1 longe de ser novo, ent\u00e3o a maioria dos servi\u00e7os n\u00e3o depende mais de uma \u00fanica senha, mas usa algum tipo de autentica\u00e7\u00e3o multifator. Ao fazer login em servi\u00e7os de Internet, redes sociais, contas banc\u00e1rias, etc., voc\u00ea geralmente \u00e9 incentivado a fornecer um c\u00f3digo \u00fanico ap\u00f3s inserir suas credenciais. Esse c\u00f3digo \u00e9 enviado em uma mensagem de texto ou entregue no aplicativo banc\u00e1rio em seu telefone ou em um aplicativo especial para autentica\u00e7\u00e3o de usu\u00e1rio multifator<\/a>, como o Google Authenticator. Sistemas muito complexos usam uma chave de hardware inserida em uma porta USB do computador ou conectada ao seu smartphone via Bluetooth ou NFC.<\/p>\n

Em alguns casos, voc\u00ea n\u00e3o precisa de uma senha. Por exemplo, quando voc\u00ea entra em uma conta da Microsoft, uma senha de uso \u00fanico \u00e9 enviada a voc\u00ea por e-mail. Por padr\u00e3o, o aplicativo de mensagens Telegram usa autentica\u00e7\u00e3o baseada em c\u00f3digos \u00fanicos enviados em mensagens de texto, sem necessidade de senha (embora uma seja recomendada como medida de seguran\u00e7a adicional).<\/p>\n

Na maioria dos casos, no entanto, as senhas ainda est\u00e3o l\u00e1 como uma forma de autentica\u00e7\u00e3o reserva. Mas confiar apenas em senhas baseadas em texto (de longe a forma mais comum e compreens\u00edvel de 2FA) tamb\u00e9m n\u00e3o \u00e9 uma boa ideia<\/a> por v\u00e1rios motivos. Em suma, h\u00e1 muito tempo existe um entendimento de que o futuro n\u00e3o pertence \u00e0s senhas. Agora, finalmente, parece que esse futuro est\u00e1 chegando mais perto de n\u00f3s.<\/p>\n

Autentica\u00e7\u00e3o sem senha na concep\u00e7\u00e3o da FIDO\/W3C<\/h2>\n

De uma forma bem resumida, o novo padr\u00e3o de autentica\u00e7\u00e3o torna a senha (ou melhor \u2014 a chave de acesso, que \u00e9 um par de chaves de criptografia, privada e p\u00fablica) um elemento puramente t\u00e9cnico que o usu\u00e1rio deixa de enxerg\u00e1-la. Isso permite o uso de chaves fortes e exclusivas e criptografia poderosa. E, por sua vez, torna a vida mais dif\u00edcil para os cibercriminosos e garante que, se uma conta for invadida, nenhuma outra ser\u00e1 perdida e torna imposs\u00edvel divulgar o \u201csegredo\u201d para os bandidos.<\/p>\n

Para os usu\u00e1rios, vai parecer que est\u00e3o confirmando um login em uma rede social, em uma conta de e-mail ou em um servi\u00e7o de banco online, a partir de nosso smartphone. Ser\u00e1 como fazer um pagamento por smartphone hoje: voc\u00ea desbloqueia o dispositivo por meio do PIN ou autentica\u00e7\u00e3o de rosto\/biometria e confirma a \u201ctransa\u00e7\u00e3o\u201d \u2013 s\u00f3 que, em vez de pagar, voc\u00ea est\u00e1 acessando sua conta. Ao fazer isso, um desbloqueio bem-sucedido confirma que voc\u00ea \u00e9 voc\u00ea. Nada mal, certo?<\/p>\n

Al\u00e9m disso, o padr\u00e3o desenvolvido pela FIDO possui um recurso adicional na forma de autentica\u00e7\u00e3o Bluetooth em v\u00e1rios dispositivos. Por exemplo, o login da conta em um laptop \u00e9 mais r\u00e1pido se o dispositivo \u201cenxergar\u201d um smartphone confi\u00e1vel por perto. Este empolgante sistema de autentica\u00e7\u00e3o funcionar\u00e1 para a grande maioria dos usu\u00e1rios, exceto talvez aqueles que continuam a usar um telefone de bot\u00e3o por princ\u00edpios. Com o apoio de tr\u00eas gigantes da internet, esse recurso deve se tornar seu uso universal em um curto prazo. Ent\u00e3o, eis a pergunta: isso ser\u00e1 bom para a seguran\u00e7a? Vejamos os pr\u00f3s e os contras da nova tecnologia.<\/p>\n

Pr\u00f3s da autentica\u00e7\u00e3o sem senhas<\/h2>\n

O suporte do Google, Apple e Microsoft d\u00e1 motivos para acreditar que os todos os principais servi\u00e7os (Gmail, YouTube, iCloud, Xbox) e todos os dispositivos iOS, Android e Windows em breve come\u00e7ar\u00e3o a migrar para a autentica\u00e7\u00e3o sem senha. Como o padr\u00e3o \u00e9 unificado e aberto, a autentica\u00e7\u00e3o deve funcionar de forma id\u00eantica em qualquer dispositivo. Al\u00e9m disso, a op\u00e7\u00e3o de alternar de um dispositivo para outro \u00e9 prometida. Trocou seu iPhone por um Samsung Galaxy? N\u00e3o \u00e9 um problema: voc\u00ea pode designar o novo smartphone como seu dispositivo de verifica\u00e7\u00e3o de login.<\/p>\n

O principal benef\u00edcio do novo m\u00e9todo \u00e9 que ele complica seriamente os ataques de phishing. O roubo de senha tradicional funciona com a cria\u00e7\u00e3o de um site falso de banco ou qualquer outra coisa, atraindo a v\u00edtima para ele. L\u00e1, o usu\u00e1rio insere suas credenciais de login (\u00e0s vezes at\u00e9 a 2FA \u00e9 utilizada), e \u00e9 isso \u2013 o invasor tem acesso \u00e0 conta banc\u00e1ria. Al\u00e9m de autenticar o usu\u00e1rio, o novo padr\u00e3o verifica a autenticidade do pr\u00f3prio servi\u00e7o. Simplesmente enviar uma solicita\u00e7\u00e3o de autentica\u00e7\u00e3o no recurso da Web de outra pessoa n\u00e3o funcionar\u00e1. Os vazamentos de senha tamb\u00e9m n\u00e3o representam uma amea\u00e7a para os usu\u00e1rios.<\/p>\n

Por fim, o novo sistema promete ser simples e intuitivo. Se implementado corretamente, a substitui\u00e7\u00e3o de senhas mesmo para contas existentes deve ser muito simples, e o prometido suporte ao sistema operacional de smartphones nem exigir\u00e1 a instala\u00e7\u00e3o de nenhum aplicativo. Basta acessar o site que quiser, introduzir o seu identificador e confirmar o pedido no seu smartphone. Tudo feito!<\/p>\n

Problemas que o fim das senhas n\u00e3o resolver\u00e1<\/h2>\n

A rigor, isso n\u00e3o deve ser considerado um problema, mas muitas pessoas certamente far\u00e3o a pergunta: e se algu\u00e9m colocar as m\u00e3os no meu smartphone \u201cconfi\u00e1vel\u201d e aprovar o login em todas as minhas contas? A resposta \u00e9 muito simples: em um modelo de seguran\u00e7a realista, n\u00e3o existem solu\u00e7\u00f5es inquebr\u00e1veis. Qualquer coisa pode ser hackeada \u2013 a \u00fanica quest\u00e3o \u00e9 quais recursos o invasor est\u00e1 disposto a empregar na miss\u00e3o. Afinal, mesmo que voc\u00ea armazene suas senhas aleat\u00f3rias de 128 caracteres exclusivamente em sua cabe\u00e7a, existem maneiras comprovadas de extra\u00ed-las de voc\u00ea.<\/p>\n

\u00c9 prov\u00e1vel que haja tentativas de hackear smartphones individuais para obter acesso \u00e0s contas. Mas esses hacks ser\u00e3o individuais, direcionados a alvos de alto perfil, uma esp\u00e9cie de ataques de butique. Quando se trata do mercado de massa \u2013 isto \u00e9, amea\u00e7as cotidianas da vida real \u2013 o roubo de senhas \u00e9 muito mais comum do que roubar smartphones para fazer uso de seu conte\u00fado digital. E a nova tecnologia visa resolver precisamente esse problema.<\/p>\n

Lembre-se de que d\u00favidas semelhantes foram colocadas sobre a introdu\u00e7\u00e3o em massa da biometria. Naquela \u00e9poca, muitas pessoas estavam igualmente preocupadas com o fato de algu\u00e9m roubar sua impress\u00e3o digital (na vers\u00e3o mais hardcore, cortando o dedo) e desbloquear seu smartphone. Troy Hunt, criador do j\u00e1 mencionado HaveIBeenPwned, escreveu um artigo<\/a> inteiro no ano passado sobre um tema relacionado: em um modelo de seguran\u00e7a realista, a biometria \u00e9 mais forte do que as senhas.<\/p>\n

Mas o verdadeiro problema que o acesso sem senha n\u00e3o resolver\u00e1 \u00e9 a perda do smartphone. Claro, o novo padr\u00e3o possibilita a transfer\u00eancia do sistema de autentica\u00e7\u00e3o de um dispositivo para outro. A maneira mais f\u00e1cil de fazer isso \u00e9 quando voc\u00ea tem dois dispositivos \u2013 por exemplo, um telefone antigo e um novo. Se o telefone antigo for perdido, sem d\u00favida voc\u00ea ter\u00e1 que usar algum tipo de m\u00e9todo de backup para provar que \u00e9 voc\u00ea. Mas que tipo de m\u00e9todo de backup pode ser esse ainda n\u00e3o est\u00e1 claro; provavelmente depender\u00e1 das configura\u00e7\u00f5es do servi\u00e7o em quest\u00e3o.<\/p>\n

Para concluir, vale a pena fazer a pergunta: o novo sistema n\u00e3o tornar\u00e1 os usu\u00e1rios mais dependentes da funcionalidade de suas contas que possuem com os mesmos Google ou Apple? O bloqueio de uma conta do Google levar\u00e1 \u00e0 perda de acesso a todos os recursos online em geral? Mesmo se considerarmos que o padr\u00e3o \u00e9 aberto, os sistemas operacionais de smartphones s\u00e3o menos \u2013 sem falar nas infraestruturas.<\/p>\n

Um futuro brilhante pela frente<\/h2>\n

Mesmo um c\u00e9tico seria pressionado a dizer que as senhas s\u00e3o melhores do que as op\u00e7\u00f5es sem senha. O conceito de senha est\u00e1 desatualizado e precisa de uma revis\u00e3o. O padr\u00e3o sem senha da FIDO promete esclarecer muitas coisas, mas muito tamb\u00e9m depende dos implementadores: Google, Apple, Microsoft etc. Se eles acertarem, nossas vidas digitais se tornar\u00e3o um pouco mais f\u00e1ceis e seguras. Mas \u00e9 improv\u00e1vel que isso aconte\u00e7a da noite para o dia: as senhas est\u00e3o t\u00e3o arraigadas na internet de hoje que levar\u00e1 muitos anos para apag\u00e1-las completamente \u2013 mesmo que um novo sistema melhor entre no lugar.<\/p>\n

\"Dif\u00edcil<\/a><\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Vamos ver como o Google, a Microsoft e a Apple podem trabalhar juntos para acabar com as senhas.<\/p>\n","protected":false},"author":665,"featured_media":19488,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1029],"tags":[913,2382,20,108,1765,3001,102],"class_list":{"0":"post-19485","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-2fa","9":"tag-a2f","10":"tag-apple","11":"tag-criptografia","12":"tag-fido","13":"tag-google-microsoft","14":"tag-senhas"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/passkey-future-without-passwords\/19485\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/passkey-future-without-passwords\/24205\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/passkey-future-without-passwords\/19687\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/passkey-future-without-passwords\/9926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/passkey-future-without-passwords\/26530\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/passkey-future-without-passwords\/24488\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/passkey-future-without-passwords\/24833\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/passkey-future-without-passwords\/27199\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/passkey-future-without-passwords\/26732\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/passkey-future-without-passwords\/33222\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/passkey-future-without-passwords\/10716\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/passkey-future-without-passwords\/44418\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/passkey-future-without-passwords\/18936\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/passkey-future-without-passwords\/28746\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/passkey-future-without-passwords\/32556\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/passkey-future-without-passwords\/25066\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/passkey-future-without-passwords\/30568\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/passkey-future-without-passwords\/30317\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19485","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=19485"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19485\/revisions"}],"predecessor-version":[{"id":19492,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19485\/revisions\/19492"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/19488"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=19485"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=19485"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=19485"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}