Um novo padrão de navegador da Web pode significar o fim das senhas, mas todos os grandes sites terão que jogar juntos primeiro.
Os logins sem senhas existem há muito tempo é o material dos sonhos para pesquisadores de segurança e defensores da privacidade – para não mencionar as pessoas comuns que enchem um navegador com as senhas de suas contas todos os dias. Os esforços da indústria para acabar com nossa dependência da senha de multi palavras (inclusive o artigo Como criar uma senha Forte tem orientações de criação de senhas seguras) resultaram na proposta de vários métodos alternativos de login, incluindo verificação biométrica e o uso de dados comportamentais para provar a identidade de um indivíduo. Contudo a maioria dessas tentativas ainda não levou à terra prometida: uma terra sem senhas.
Agora, um novo padrão para a web chamado WebAuthn está sendo elogiado como um grande passo em frente na autenticação segura, e “provavelmente a medida anti-phishing mais eficaz para a web que está lá fora”, de acordo com Selena Deckelmann, diretora sênior de engenharia do Mozilla Firefox. Ele introduz um conjunto de regras para a web que, se adotadas por navegadores e sites populares, significariam que as pessoas poderiam usar um único dispositivo ou uma única impressão digital para fazer login, em quase tudo.
Mas, o WebAuthn ainda enfrenta obstáculos antes de se tornar algo que impacte as massas. Alguns especialistas em segurança e identidade parecem relutantes em afirmar que nosso futuro sem senha finalmente chegou. E muito do sucesso do WebAuth se resume a sites extremamente populares como Amazon ou Facebook.
Quem é você?
O novo padrão WebAuthn é um esforço conjunto entre o World Wide Web Consortium (WC3) e a FIDO Alliance, que é composta por uma variedade de empresas de tecnologia e financeiras e é presidida por especialistas em identidade on-line. (FIDO significa “Fast Identity Online” ou em português Identidade Rápida Online.) O WebAuthn baseia-se em duas especificações FIDO pré-existentes – U2F e UAF – que alguns sites usam para verificar a identidade de um usuário por meio do que é conhecido como 2FA. Ou autenticação de dois fatores. Esse método de login, que exige que um usuário insira uma senha e um meio secundário de verificação de identidade para acessar sua conta, é uma maneira mais infalível de confirmar a identidade de alguém do que apenas pedir uma senha.
Isso significa que fazer login em navegadores e contas on-line pode ser mais fácil e mais seguro para os consumidores. Você pode fazer login usando um dongle físico (“pendrive” que se conecta à porta USB do seu computador). Ou usando um login biométrico como uma impressão digital. Pode haver um processo inicial de login ou inscrição que envolveria a inserção de uma senha. Mas depois disso, o login seria, em teoria, um processo de uma etapa.
Um toque de segurança
De certa forma, o novo padrão é semelhante ao “TouchID” da Apple. Mas um passo à frente. você usa sua impressão digital para fazer login em um dispositivo local. Com o FIDO2, você pode realmente fazer login em sua área de trabalho usando sua impressão digital em seu telefone. Em outras palavras, replicaria o processo proprietário que a Apple tem agora para autenticar entre dispositivos, mas em produtos que não são da Apple. “
O que pode ser ainda mais benéfico do que simplificar as inscrições é a proteção contra-ataques de phishing: se não houver senha para inserir, ela não poderá ser roubada. “Eu acho que é um grande negócio para as pessoas comuns, celebridades, ou de alto patrimônio líquido que ativamente têm hackers que estão tentando invadir suas contas”, diz Sarah Squire, arquiteta técnica sênior da Ping Identity empresa de software americana.
Data de Publicação: 13/12/2022 | Data da Atualização: 13/09/2023