Já imaginou um mundo sem senhas? É isso o que propõe a tendência passwordless, defendida e adotada por grandes empresas de tecnologia e outros setores. O argumento principal é o de que o formato de autenticação de usuários baseado em senhas é bastante falho.
As senhas, no modelo que usamos hoje, estão muito suscetíveis a vazamentos de dados e fraudes, principalmente os golpes de engenharia social, como o phishing ou o tailgating. O comportamento dos usuários também é um problema nesse cenário, pois usam senhas muito óbvias ou repetidas.
Isso facilita muito o trabalho dos fraudadores e hackers. Em casos de roubo e golpe pelo celular, o que eles vão fazer é primeiro testar opções óbvias de senha e buscar por dicas no próprio aparelho. Se você usa a mesma senha em tudo e, em algum contexto, já compartilhou essa informação por mensagem, a chance de que eles descubram é enorme.
A proposta é substituir esse sistema por opções mais robustas e seguras, como a biometria e a verificação de duas etapas. Neste artigo, entenda melhor os argumentos de quem defende a jornada passwordless e como funcionam os sistemas que podem substituir as senhas.
Passwordless: o que é?
Passwordless (inglês para “sem senhas”) consiste em um tipo de autenticação em que o acesso não é feito por senhas, mas usando métodos como chaves de segurança e biometria.
Portanto, ao invés de digitar uma combinação de letras e números, você poderá usar a sua voz para acessar um aplicativo ou poderá receber um código no celular que vai permitir realizar o login em algum site.
Alguns pesquisadores apontam também a existência do “semi” passwordless. É o caso da autenticação de dois fatores, em que é preciso digitar a senha e depois realizar uma segunda validação do acesso, e do acesso único, em que um dispositivo é capaz de autorizar o login em vários outros.
Como explica ao Valor Econômico o diretor de cibersegurança da Cisco, Fernando Zamai, o uso de senhas como temos hoje está muito propenso a fraudes e já não são mais capazes de assegurar um ambiente protegido.
A reportagem diz que, até o final de 2022, cerca de 60% das grandes empresas globais já terão implementado autenticações sem senha em mais de 50% das operações. Para Zamai, acabar com as senhas empurra o desenvolvimento de novas tecnologias, além de reduzir custos operacionais e os riscos de ameaças digitais.
💡Esse assunto foi um dos temas da nossa newsletter, a NewMinds! Assine agora e receba uma curadoria de conteúdos interessantes direto no seu e-mail:
Por que as senhas não são tão seguras quanto pensamos?
Ainda em 2009, três pesquisadores da área de tecnologia com apoio da Microsoft publicaram o artigo “Password: if we’re so smart, why are we still using them?” [Senhas: se somos tão inteligentes, por que continuamos usando?]. No material, eles enumeram uma série de problemas desse tipo de autenticação que justificam a aplicação de outros formatos.
Os usuários, apontam os pesquisadores, optam por senhas fracas e fáceis de serem adivinhadas, o que torna o trabalho de fraudadores muito mais fácil. A NordPass, uma empresa focada em segurança digital, listou as 200 senhas mais comuns no mundo todo em 2021.
O espaço amostral é baseado nos clientes que usam a solução de gerenciamento de senhas da empresa e, por isso, foi possível mapear também quantas pessoas as usam e quanto tempo leva para quebrar a segurança de cada uma. Essas são as 3 primeiras colocadas:
- 1. Senha: 123456
Tempo para descobrir: 1 segundo
Quantas pessoas usam: 103.170.552 - 2. Senha: 123456789
Tempo para descobrir: 1 segundo
Quantas pessoas usam: 46.027.530 - 3. Senha: 12345
Tempo para descobrir: 1 segundo
Quantas pessoas colocadas: 32.955.431
A alternativa seria adotar senhas complexas, com muitos caracteres e variações. Contudo, os pesquisadores também explicam que combinações mais robustas são frequentemente esquecidas, o que cria a necessidade de grandes esquemas de suporte ao cliente ou métodos alternativos de acesso. Anotá-las ou usar a mesma combinação várias vezes também não são soluções seguras.
Tudo isso foi listado pelos pesquisadores há quase 15 anos, e os problemas das senhas apenas aumentaram. Hoje, os aparelhos celulares são ainda mais centrais nas nossas vidas, e realizamos diversos tipos de transações por lá. Eles estão mais suscetíveis a invasões e fraudes.
Outro fator a se pensar é a quantidade de serviços digitais que usamos hoje. Nos apoiamos em um número cada vez maior de sites e aplicativos e isso contribui para aumentar o volume de login e senhas para serem usados e decorados, o que aumenta as chances de repetição e uso de senhas fracas.
Uma pesquisa da Verizon, em 2022, indicou que mais de 80% dos ataques de hackers partem de senhas fracas ou do roubo de credenciais. Em alguns casos recentes de vazamento de informações, além de dados pessoais como nome e e-mail, também haviam senhas dos usuários.
Em junho de 2021, segundo o Cybernews, um usuário de um fórum hacker bastante popular publicou um arquivo de 100 GB com cerca de 8,4 bilhões de senhas — provavelmente, uma combinação de diversos vazamentos.
Mas, se as senhas não são tão seguras, quais são as alternativas?
Alternativas às senhas: autenticação passwordless
Com as tecnologias disponíveis hoje, já é possível escolher entre uma gama de soluções de autenticação sem senhas. Em algumas casos, para realizar o login, o próprio usuário se torna a chave de acesso; em outras, são usadas etapas diferentes ou dispositivos variados para evitar que a fraude seja efetivada.
Para cada setor ou tipo de serviço, existem aquelas que são mais indicadas, especialmente pensando na experiência do cliente.
Aqui estão algumas opções:
Biometria de voz
A biometria de voz é a autenticação que usa as ondas sonoras para verificar se uma pessoa é quem diz ser, pois cada pessoa produz um padrão único. Por isso, trata-se de uma autenticação muito segura e eficaz, principalmente para serviços em que apenas o proprietário da conta está autorizado a realizar operações.
O reconhecimento de voz pode ser aplicado em diferentes momentos da jornada do usuário, sem interferir em nada na usabilidade do canal. Em aplicativos financeiros, por exemplo, podem ser usados para validar o acesso ou confirmar uma transação.
Aqui na Minds Digital, todo o processo leva apenas cerca de 7 segundos para ser realizado: de 4 a 6 segundos para cadastrar a voz, mais 1 segundo para validá-la. Além de trazer agilidade e segurança, essa tecnologia já é capaz de ignorar barulhos externos, permitindo a verificação mesmo em locais com muito ruído.
🔊 Saiba mais sobre a tecnologia em: Como funciona a autenticação de voz em ambientes externos?
Chave de acesso ou Link
Essa é uma das alternativas de autenticação mais comuns. Ela é feita pelo envio imediato de uma chave de acesso ou de um link específico para o usuário, que deve usar isso para realizar o login com segurança.
O envio do código ou link pode ser feito para o e-mail, por SMS ou em um segundo aplicativo específico, como o Google Authenticator. O benefício desse método é que a combinação usada como senha só vale para aquele acesso, naquele momento.
Contudo, há um fator de alerta para essa solução: caso o usuário tenha o celular roubado, e o fraudador consiga acesso aos aplicativos, é possível que ele solicite o acesso por SMS e consiga realizar o login.
Para esses casos, é interessante ter um fator duplicado de verificação que analise dados secundários, como a geolocalização e ID do dispositivo que está sendo utilizado para realizar o acesso.
Aplicativo de autenticação
Nessa alternativa, o usuário precisa autorizar o login por outro dispositivo configurado ou usando um aplicativo de autenticação específico. Esse método pode ser usado tanto no celular quanto em computadores. A autorização de acesso só pode ser feita por dispositivo que já tenha essa permissão dentro da ferramenta — o que impede a ação de fraudadores.
Um problema dessa autenticação está na necessidade de usar dispositivos diferentes, Além disso, assim como a chave de acesso, caso o aparelho com a permissão seja roubado, ele pode acabar permitindo o acesso de terceiros.
Reconhecimento facial
A autenticação por reconhecimento facial é feita a partir da detecção do rosto do usuário. Depois, ele é validado, autorizando ou não o acesso. Essa tecnologia tem ficado bastante popular nos últimos anos, principalmente durante a pandemia, devido à possibilidade das verificações sem o contato com outras pessoas.
Contudo, recentemente, alguns problemas começaram a ganhar maior destaque. Um desafio dessa solução é que o resultado da verificação é bastante influenciado pelo contexto. Então, um ambiente com pouca iluminação ou uma câmera de baixa qualidade pode barrar o acesso do usuário, mesmo que seja ele realmente o titular daquela conta.
Outro desafio que merece atenção é o fato de que os fraudadores já encontraram soluções para burlar esse método. Uma bastante comum é o uso de fotografias impressas que, quando inseridas na frente da câmera, permitem o acesso como se aquele fosse realmente o usuário.
🎯 Saiba mais: Reconhecimento facial e de voz: quais as diferenças?
Leve sua empresa para o cenário passwordless
Grandes empresas já defendem o fim do uso de senhas, como mostra este artigo da CNBC. Em setembro de 2021, a Microsoft tornou possível que os usuários dos seus serviços migrem para um acesso passwordless.
No comunicado oficial, há uma citação de Bret Arsenault, o Chief Information Security Officer (CISO): “Hackers don’t break in, they log in” — na tradução:
Hackers não invadem, eles fazem login.
Isto é, hackers não precisam usar um mecanismo tecnológico muito complicado para invadir contas: os ataques digitais são realizados usando as senhas dos próprios usuários.
Diversos fatores fizeram com que as senhas continuassem sendo usadas até hoje, como o medo de gerar fricção na experiência do usuário ou apenas por comodismo. Mas, o pioneirismo na inovação pode representar uma mudança muito positiva para o seu negócio.
Para começar, você pode adotar um sistema “semi” passwordless, inserindo mais de uma etapa de verificação ao processo de autenticação dos usuários e implementando um sistema antifraude.
Assim, é possível aumentar a segurança dos usuários e reduzir o risco de fraudes, gerando menos prejuízo e tendo mais tempo para focar em gerar mais receita.
Para saber mais sobre o Passwordless, confira o nosso e-book:
A seguir, você vai aprender sobre: