Acessos e transações seguras: você é você mesmo?

Acessos e transações seguras: você é você mesmo?

Precisamos provar que somos nós mesmos o tempo todo, e com o mundo baseado em serviços digitais em que vivemos, essa necessidade de prova chegou a um ponto que merece ser melhor discutida.

Muitas senhas?

Use seu dispositivo móvel, acesse um novo serviço, utilize as redes sociais, faça compras em uma loja virtual, realize transações bancárias, ou faça o download de um artigo. E lembre-se de suas senhas.

Somente nos Estados Unidos foram cerca de 800 vazamentos de informações em 2015, muitas delas relacionadas com roubo de identidades. Os usuários possuem em média 90 contas online, com projeção de chegar a 207 contas em 2020. O reflexo disso é que em média senhas de 37 contas são esquecidas e têm que ser recuperadas. Outro estudo mostra que as pessoas possuem em média 19 senhas para lembrar, e 35% das pessoas não escolhem uma senha complexa que a deixa forte. E o resultado, além dos incidentes de segurança, é a frustração pelo esquecimento das senhas para 58% dos usuários, segundo uma outra pesquisa [4].

E você, repete muitas senhas? Ou define senhas fáceis de serem lembradas?

Senhas para quê?

Afinal de contas, para que servem as senhas? Para provar que você é você. A teoria por trás disso é que somente você conhece a senha que você mesmo escolheu, então a prova de sua identidade seria com base em algo que somente você sabe.

Essa autenticação baseada em algo que o usuário sabe possui alguns pontos fracos. Senhas podem ser adivinhadas, principalmente aquelas que utilizam nomes de entes queridas, datas de aniversários, telefones ou xingamentos. Senhas também podem ser quebradas com ataques do dicionário ou ataques de força-bruta. E, senhas podem ser roubadas dos servidores. Mesmo que elas estejam “protegidas” por funções de hash nos servidores, vazamentos desses arquivos de senhas resultam em grandes danos, como ocorreu com serviços como o LinkedIn, Ashley Madison ou Ebay. Imagine se essas senhas descobertas forem compartilhadas com outros serviços.

O que dá para fazer hoje?

Atualmente as senhas continuam a dominar a autenticação, com 75% das empresas empregando este método. Porém, apenas 7% das empresas adotam somente as senhas, com a grande maioria fazendo o uso combinado com outros métodos, como a autenticação baseada em conhecimento (perguntas como nome da mãe, data de nascimento, endereço), captcha ou autenticação de dois fatores (tokens em chaveiros, cartões, smartphones ou SMS). Estes métodos são bastante utilizados, e ganharam ainda mais atenção após relatório do NIST sobre autenticação digital que destacou os problemas do uso do SMS, o que impacta muitos serviços online.

E a biometria avança rapidamente, principalmente com os dispositivos móveis (impressão digital, face, voz) e com os caixas eletrônicos em bancos no Brasil (impressão digital, veia de palma da mão).

E para onde iremos?

As senhas ainda são importantes para a autenticação, principalmente enquanto outros métodos de autenticação são desenvolvidos e vão chegando aos poucos ao nosso uso. Quando esse dia chegar, iremos acessar serviços e realizar transações de uma forma simples e transparente, bastando somente sermos nós mesmos para termos acesso ao que podemos. Para isto, o que está sendo construído não são apenas métodos de autenticação, mas um conjunto de tecnologias que agrega também protocolos e sistemas.

Métodos de autenticação baseados em biometria (algo que você é) como as verificações de face, voz, impressão digital e veias da palma da mão já são adotadas pelas empresas, e possuem níveis de usabilidade, taxas de acerto e custos específicos. Enquanto isso, outros métodos vão chegando, tais como a biometria ocular, de íris ou de geometria das mãos. A biometria comportamental também vem tendo uma curva de adoção acentuada, como as baseadas em digitação, uso de mouse, uso de telas sensíveis ao toque ou o uso do giroscópio.

Métodos de autenticação baseados em conhecimento (como perguntas sobre data de nascimento, nome da mãe ou CPF) também continuam a serem utilizadas, porém com efetividade cada vez menor, principalmente com a possibilidade de buscar informações relevantes na própria Internet. Um caminho é o uso de informações transacionais como uma parte do processo para saber se o usuário é quem diz ser.

Muitos métodos de autenticação baseados em algo que o usuário possui (e também os baseados em algo que o usuário é, como a biometria de impressão digital) foram facilitados com os dispositivos móveis, que além de viabilizarem a autenticação de dois fatores, trazem ainda a vantagem do processamento, que possibilita a criação de outros mecanismos diferentes de verificação adicional. O próprio número telefônico e o código IMEI são informações que podem ser utilizados como parte de uma autenticação, assim como o token enviado via SMS.

Além do device ID ou device fingerprinting, há ainda a localização, que provê informações importantes para a validação de identidades.

security-1163108_960_720

O grande xis da questão, porém, não está na definição de apenas um ou um conjunto de métodos de autenticação, mas sim no uso combinado e versátil de todos eles, em tecnologia conhecida como autenticação versátil ou autenticação adaptativa. Com base em níveis de confiança, o usuário não precisaria, no melhor caso, fazer nada para acessar um serviço ou realizar uma transação de sua casa, a partir de um dispositivo conhecido, seguindo um padrão reconhecidamente dele (biometria comportamental).

Somada à detecção de anomalias, aos algoritmos de segurança da informação, à aplicação de computação cognitiva e às tecnologias antifraude, a autenticação baseada em risco e contexto dá as diretrizes sobre o que deve ser exigido do usuário para que ele seja validado. Somente em caso de alguma dúvida o sistema de autenticação exigiria automaticamente uma validação adicional, tornando o processo mais amigável para os usuários. Além dessa abordagem, há evoluções também com o uso da tecnologia blockchain.

A autenticação mais natural e transparente é possível, com o uso de um conjunto de tecnologias integradas que são complexas, em prol da simplicidade para os usuários. Em um futuro próximo bastará que você apenas seja você para utilizar os serviços e realizar as transações.

Emilio Nakamura

Mestre em Ciência da Computação pela Unicamp, possui MBA Executivo e as certificações CISSP-ISSAP, ISSMP. Já proferiu treinamentos e palestras no Brasil, Alemanha, Austrália e Inglaterra. Contribui com a comunidade de segurança da informação e comunicação há mais de 18 anos, trabalhando e criando soluções para empresas dos setores de telecomunicações, financeiro, energia, governo e varejo. Autor do livro "Segurança de Redes em Ambientes Cooperativos" que está na 10. edição, possui pedidos de patentes em áreas como proteção de infraestrutura crítica, autenticação e segurança Web. Consciente do papel da segurança da informação na evolução dos negócios e das pessoas, tem aplicado sua experiência em projetos que envolvem arquiteturas e tecnologias de segurança para tornar os negócios e sistemas mais confiáveis tanto para os usuários quanto para as empresas.