Despejar senhas pode melhorar sua segurança – realmente
Chaves de segurança, biometria e uma tecnologia chamada FIDO estão atualizando a fraca base de segurança de hoje.
Nota do editor: Em reconhecimento ao Dia Mundial da Senha, a está republicando uma seleção de nossas histórias sobre como melhorar e substituir senhas.
As senhas são uma droga.
Nota do editor: Em reconhecimento ao Dia Mundial da Senha, a está republicando uma seleção de nossas histórias sobre como melhorar e substituir senhas.
As senhas são uma droga.
Eles são difíceis de lembrar, os hackers exploram suas fraquezas e as correções geralmente trazem seus próprios problemas. Dashlane, LastPass, 1Password e outros gerenciadores de senha geram senhas fortes e exclusivas para cada conta que você possui, mas o software é complexo. Os serviços do Google, Facebook e Apple permitem que você use suas senhas para os serviços deles em outros sites, mas você deve dar a eles ainda mais poder sobre sua vida online. A autenticação de dois fatores, que requer uma segunda senha enviada por mensagem de texto ou recuperada de um aplicativo especial cada vez que você faz login, aumenta a segurança drasticamente, mas ainda pode ser derrotada.
Uma grande mudança, no entanto, pode eliminar completamente as senhas. A tecnologia, chamada FIDO, revisa o processo de login, combinando seu telefone; reconhecimento de rosto e impressão digital; e novos dispositivos chamados chaves de segurança de hardware. Se cumprir sua promessa, a FIDO criará senhas dignas de crédito como “123456” relíquias de uma era passada.
“Uma senha é algo que você conhece. Um dispositivo é algo que você tem. Biometria é algo que você é”, disse Stephen Cox, arquiteto-chefe de segurança da SecureAuth. “Estamos mudando para algo que você tem e algo que você é.”
Esta semana, a está dando uma olhada nas mudanças que nos ajudarão a nos livrar de problemas de senha. Essas mudanças são um esforço enorme que afetará você sempre que verificar seu e-mail, transferir dinheiro ou efetuar login na rede de seu empregador. Analisamos abordagens de autenticação que dispensam senhas, as deficiências da autenticação de dois fatores, os benefícios dos gerenciadores de senhas. Fornecemos alguns conselhos atualizados sobre a escolha de senhas, porque melhorias mais profundas em senhas levarão anos para chegar. Por fim, meu colega Scott Stein compartilha uma história de advertência sobre o que pode dar errado com um gerenciador de senhas.
Leia mais: Os melhores gerenciadores de senhas de 2020
Senhas são horríveis
As senhas de computador estão sobrecarregadas pelo menos desde os anos 1960. Allan Scherr, um pesquisador do MIT, descobriu as senhas de outros pesquisadores para que pudesse usar suas contas para continuar seu “furto de tempo de máquina” para seu próprio projeto. Na década de 1980, o astrofísico Clifford Stohl da University of California, Berkeley rastreou um hacker alemão em computadores governamentais e militares que ficaram inseguros porque os administradores não alteraram as senhas padrão.
A natureza das senhas nos leva a ser preguiçosos. Senhas longas e complexas, as mais seguras, são as mais difíceis de criar, lembrar e digitar. Muitos de nós optam por reciclá-los.
Esse é um grande problema porque os hackers já possuem muitas de nossas senhas. O serviço Have I Been Pwned inclui 555 milhões de senhas expostas por violações de dados. Os hackers automatizam os ataques “preenchendo credenciais”, tentando uma longa lista de nomes de usuário e senhas roubados para encontrar aqueles que funcionem.
FIDO corrige
Fast Identity Online, mais conhecido como FIDO, resolve esses problemas. Ele padroniza o uso de dispositivos de hardware, como chaves de segurança, para autenticação. Yubico, Google, Microsoft, PayPal e Nok Nok Labs, entre outros, estão desenvolvendo FIDO.
As chaves de segurança são equivalentes digitais das chaves da casa. Você os conecta a uma porta USB ou Lightning, permitindo que uma única chave de segurança digital funcione com segurança com muitos sites e aplicativos. A chave pode se encaixar na autenticação biométrica, como o Face ID da Apple ou o Windows Hello. Algumas teclas podem ser usadas sem fio.
A FIDO também permite que sites e serviços substituam completamente as senhas, uma mudança que pode tornar a sua vida de login mais fácil, ao mesmo tempo que torna o hacking mais difícil.
Os fãs estão confiantes o suficiente para fazer projeções ousadas sobre sua disseminação. “Nos próximos cinco anos, todos os principais serviços de Internet para consumidores terão uma alternativa sem senha”, disse Andrew Shikiar, diretor executivo da FIDO Alliance, um consórcio do setor. “A maior parte deles usará FIDO.”
Como funciona apenas com sites legítimos, a FIDO interrompe o phishing, um tipo de ataque de segurança no qual os hackers usam um e-mail fraudulento e um site falso para convencê-lo a fornecer suas informações de login. A FIDO também alivia as preocupações da empresa sobre violações catastróficas de dados, especialmente de informações confidenciais do cliente, como credenciais de conta. Senhas roubadas não serão suficientes para um hacker usar para fazer logon e, se a FIDO descobrir, as empresas podem não exigir senhas para começar.
Login sem senha
Esta é uma maneira de o logon baseado em FIDO funcionar sem senhas. Você visitará a página de login de um site com seu laptop, digite seu nome de usuário, conecte sua chave de segurança, toque em um botão e, em seguida, use a autenticação biométrica do laptop, como o Touch ID da Apple ou o Windows Hello.
Convenientemente, você também poderá usar seu telefone como uma chave de segurança. Digite seu nome de usuário, receba um prompt em seu telefone, desbloqueie-o e aprove a si mesmo com seu sistema de autenticação biométrica. Se você estiver usando seu laptop, o telefone se comunicará por Bluetooth.
A FIDO oferece suporte à proteção fornecida pela autenticação multifator, que exige que você prove suas credenciais de login de pelo menos duas maneiras.
Como funciona a autenticação FIDO
Seu primeiro encontro com o FIDO provavelmente não será muito diferente da autenticação de dois fatores. Primeiro, você digitará uma senha convencional e, em seguida, conectará ou conect ará sem fio uma chave de segurança de hardware FIDO.
O processo ainda usa senhas, mas é mais seguro do que senhas sozinhas ou senhas reforçadas por códigos enviados por SMS ou recuperados de autenticadores como o Google Authenticator. Esta abordagem – senha mais chave de segurança – é como você pode usar a FIDO hoje no Google, Dropbox, Facebook, Twitter e serviços da Microsoft como Outlook.com e, eventualmente, Windows.
“As chaves de segurança de hardware são muito, muito seguras”, disse Diya Jolly, diretor de produtos da empresa de serviços de autenticação Okta. É por isso que as campanhas do Congresso, a divisão de serviços de computação do governo canadense e todos os funcionários do Google os usam.
Hoje, os serviços ao consumidor exigem que você conecte as chaves apenas ao fazer o login pela primeira vez em um novo PC ou telefone, ou quando estiver realizando uma ação particularmente delicada, como transferir dinheiro de sua conta bancária ou alterar sua senha. Obviamente, uma chave de segurança pode ser um incômodo se você não a tiver prontamente disponível quando precisar.
As chaves de segurança à venda hoje incluem Yubikeys da Yubico e Titan do Google. Os modelos básicos custam US $ 20, mas você vai gastar US $ 40 ou mais se quiser aqueles que suportem portas USB-C ou Lightning ou comunicações sem fio. Modelos avançados como o ThinC da Ensurity, o Goldengate G320 do eWBM e o BioPass da Feitian têm leitores de impressão digital integrados, um recurso no qual Yubico está trabalhando também.
Você deve comprar pelo menos duas chaves para o caso de perder, quebrar ou esquecer sua chave principal. Com a maioria dos serviços, você pode registrar várias chaves, para que possa deixar uma em casa ou em um cofre.
Os telefones também podem ser chaves de segurança
O Google criou a tecnologia-chave FIDO diretamente no Android em 2019 e fez o mesmo com o software do iPhone em janeiro. Isso permite que você faça login em sua conta do Google em seu laptop com um prompt que aparece em seu telefone, desde que esteja dentro do alcance do Bluetooth de seu laptop. Espere que essa abordagem se espalhe além do Google.
Os sites e navegadores obtêm autenticação FIDO com um recurso chamado WebAuthn. O FIDO é integrado ao Android para que os aplicativos também possam usá-lo, e a Apple acabou de se juntar à FIDO Alliance, o que é um bom presságio para o suporte FIDO em aplicativos do iPhone.
A Microsoft também é um grande apoiador. Ele ultrapassou o Google ao permitir o login sem senha para Outlook, Office, Skype, Xbox Live e outros serviços online. Você precisará de uma chave de hardware combinada com a tecnologia de reconhecimento facial do Windows Hello ou ID de impressão digital; uma chave de hardware combinada com um código PIN; ou um telefone executando o aplicativo Authenticator da Microsoft.
Proteção FIDO contra phishing
A FIDO usa a tecnologia de criptografia de chave pública que protege os números de cartão de crédito online há décadas. Uma grande vantagem dessa abordagem é que um dispositivo de segurança FIDO – seja uma chave de segurança de hardware ou um telefone agindo como uma – não funcionará com sites falsos, uma armadilha comum criada por hackers durante o phishing de senhas. Ao contrário das pessoas, que geralmente não percebem um site falso bem elaborado, as chaves de segurança são registradas para funcionar apenas com um site legítimo.
“Com as chaves de segurança, em vez de o usuário precisar verificar o site, o site tem que provar sua capacidade para a chave”, escreveu Mark Risher, líder do trabalho de autenticação do Google em um blog. As tentativas de phishing bem-sucedidas caíram para zero no Google depois que ele transferiu dezenas de milhares de funcionários para as chaves de segurança.
A ausência de senhas também significa uma diminuição nos dados confidenciais para os hackers roubarem. Isso é música para os ouvidos dos administradores de TI. Com a FIDO, diz Cox da SecureAuth, as empresas não têm mais “bancos de dados centralizados de credenciais a serem roubadas”.
Problemas pós-senha
Aqui estão as más notícias. Não será fácil mudar para nosso futuro sem senha. Estamos todos acostumados com senhas e estamos mais ou menos confortáveis com o seu funcionamento. Todos nós temos nossos próprios truques para mantê-los organizados.
Configurar chaves de segurança é mais difícil do que escolher uma senha. É complicado porque diferentes sites usam procedimentos diferentes para registrar e usar chaves de segurança. Por exemplo, o Twitter permite que você use apenas uma chave de segurança de hardware hoje, o que significa que as chaves de backup não funcionarão.
A inscrição – o processo de registrar uma chave de segurança em um serviço – “é um problema terrível”, disse Jerrod Chong, diretor de soluções da Yubico, uma empresa de 12 anos que fabrica chaves de segurança e é um importante ator no FIDO Alliance. Ele espera que o número de matrículas melhore, no entanto. (Na verdade, o uso de chaves de segurança se tornou mais fácil ao longo do ano em que estou fazendo isso.)
Multiplique o número de contas que você possui pelo número de chaves que possui e terá uma noção da dificuldade de gerenciamento de chaves que enfrenta. As chaves de segurança de hardware também podem quebrar ou ser roubadas, e as chaves Bluetooth podem ficar sem bateria.
“A maioria das pessoas está familiarizada com as senhas. É algo com que cresceram. Está impresso nelas”, disse o analista de segurança da Forrester Chase Cunningham. “Do nível do consumidor, provavelmente ainda faltam cinco a sete anos para que a eliminação de senhas seja uma realidade.”
Dentro das empresas, as chaves de segurança de hardware não serão uma venda fácil. Eles custam dinheiro, os funcionários os perdem ou esquecem e, talvez o mais importante, eles são apenas diferentes do que as pessoas estão acostumadas. Caramba, a maioria das pessoas nem mesmo habilita a autenticação de dois fatores, embora isso melhorasse drasticamente a segurança.
“Nomes de usuário e senhas ainda são a opção mais comum”, disse Matias Woloski, CTO e co-fundador da Auth0, que vende serviços de autenticação. “Ninguém quer tentar não oferecer essa opção.”
Defendendo as chaves de segurança
Ainda assim, é importante pesar os problemas com as chaves de segurança em comparação aos que já enfrentamos com as senhas.
As chaves de segurança de hardware impedem o cibercrime em grande escala que as senhas permitem. Os mecanismos para redefinir senhas esquecidas são caros e podem ser explorados por hackers que roubam contas. E vamos enfrentá-lo – é praticamente impossível lembrar de senhas fortes e exclusivas para todos os sites que você usa.
Chaves de segurança com tecnologia FIDO, telefones e logins sem senha irão melhorar a segurança fundamentalmente fraca, diz Joe Diamond, vice-presidente de produto da Okta. “É claramente o futuro.”