Google, Apple e Microsoft querem criar sistema de login sem senha no smartphone
As três gigantes da tecnologia querem tornar o smartphone sua principal forma de acessar contas.
O Google anunciou um sistema de login através do celular, sem necessidade de senha, para Android e Chrome. Além disso, a Apple e a Microsoft afirmaram que farão o mesmo em seus sistemas operacionais e navegadores. Isso permitirá que você combine diferentes plataformas, digamos, usando um Android para acessar sua conta no Mac ou um iPhone para fazer login no Windows.
Esse sistema funcionará de forma parecida com um token USB de certificação digital, mas sem a necessidade de digitar a senha no dispositivo, como nos modelos da Yubico e de outras marcas. Bastará desbloquear a tela do smartphone para que o login seja concluído.
O anúncio veio no Dia Mundial da Senha (uma data criada para conscientizar sobre a importância da segurança de contas, perfis e cadastros no meio virtual), no último dia 5, em um esforço para acabar de vez com o uso de senhas como a principal forma de proteger sua conta.
Neste novo sistema de login, você ainda conseguirá criar uma conta com nome de usuário e senha tradicionais, mas associá-la ao smartphone (devidamente protegido) eliminará a necessidade de digitar tantos caracteres.
“Antes, já era possível acessar contas sem senha, mas ela ainda precisava ser digitada na maioria das situações”, diz Sam Srinivas, diretor de segurança de autenticação do Google.
Há vantagens claras em não ter que lembrar de uma senha específica (ou da que você usa no gerenciador de senhas). Mas uma menos óbvia é que esse sistema de login sem senha, da mesma forma que tokens de certificação digital, é à prova de phishing (técnica usada para enganar usuários e obter informações confidenciais, como senhas e detalhes do cartão de crédito). O smartphone vai ignorar solicitações de sites falsos, assim como um token reconhece páginas falsas capazes de enganar o olho humano.
Se um hacker, de alguma forma, obtiver a senha de uma conta, ou até mesmo se roubar o computador no qual esse login está salvo, não colocará em risco nenhuma informação, já que ainda será necessário permitir o acesso através do celular.
“Esta sim é uma autenticação multifator de verdade”, diz Srinivas, que também é presidente da FIDO Alliance, grupo que desenvolve padrões de segurança pós-senha. “Só funcionará se você estiver perto do computador” (via Bluetooth).
PROXIMIDADE FÍSICA É ESSENCIAL
Tokens de certificação digital eram o principal produto da FIDO, abreviação de “Fast IDentity Online”. Embora também impeçam o acesso à distância, eles têm um custo e exigem registro antes do uso. Além de ser algo que você precisará carregar consigo e tomar muito cuidado para não perder.
“Quando começamos essa jornada com a FIDO, a proximidade física era essencial”, diz Christiaan Brand, gerente sênior de produtos do Google. “Estamos trazendo isso de volta.”
Tokens de certificação digital impedem o acesso à distância, mas têm custo e exigem registro antes do uso.
Mas a necessidade de um smartphone para acessar todas as contas não elimina os riscos associados à perda ou roubo. Alguém que consiga enganar o sistema de biometria ou descobrir seu código ou padrão de desbloqueio poderá ter acesso às suas contas – embora este também seja um risco que se corre ao usar gerenciadores de senhas.
Algo extremamente importante de ressaltar é que a reutilização de senhas – um péssimo hábito que as pessoas insistem em manter – faz com que o comprometimento de uma conta, em um vazamento de dados, por exemplo, se estenda a outras.
Perder seu smartphone definitivamente traz inúmeros inconvenientes, apesar de as senhas salvas nele serem sincronizadas de forma automática e segura. Até conseguir um novo aparelho e restaurar o backup, você não terá acesso em outro dispositivo, a menos que disponha de outro método de autenticação.
Mas este é um problema que qualquer um também enfrentaria caso perdesse o telefone que usa para autenticação de dois fatores ou um aparelho com gerenciador de senhas.
Srinivas continua a recomendar o uso de tokens de autenticação digital “para situações extremamente sensíveis”, como em contas essenciais ou que lidam com grande volume de dinheiro.
O próprio Google ainda não está pronto para eliminar de vez as senhas, e Srinivas espera que continue assim “por bastante tempo”.
Mesmo que a ideia de um sistema como este esteja muito aquém do que veremos na prática (e todos nós já caímos nesse falso hype antes), um login que não dispense senhas por completo, mas que diminua sua necessidade, ainda pode ser algo positivo.
“Qualquer senhas pode ser roubada”, alerta Srinivas.