Maçã, Google E Microsoft Ele anunciou esta semana que em breve oferecerá suporte a uma abordagem de autenticação que elimina completamente as senhas, exigindo que os usuários abram seus smartphones para fazer login em sites ou serviços online. Especialistas dizem que essas mudanças ajudarão a derrotar muitos tipos de ataques de phishing e aliviar a carga geral de senhas para os usuários da Internet, mas alertam que o futuro sem senhas reais levará muitos anos para a maioria dos sites.
Gigantes da tecnologia fazem parte de um esforço liderado pelo setor para alterar senhas que são facilmente esquecidas, roubadas com frequência por malware e golpes de phishing ou vazadas online após violações de dados corporativos.
Apple, Google e Microsoft fizeram parceria com FIDO (“Fast Identity Online”) e The Federação Mundial da Web (W3C), equipes que trabalharam com centenas de empresas de tecnologia na última década para desenvolver um novo padrão de login que funcione uniformemente em vários navegadores e sistemas operacionais.
De acordo com a FIDO Alliance, os usuários podem fazer login em sites por meio do mesmo processo que leva várias vezes ao dia para desbloquear seus dispositivos – incluindo PIN do dispositivo ou biométrico, como impressão digital ou digitalização de rosto.
“Esta nova abordagem protege contra phishing e torna o login mais seguro em comparação com as tecnologias tradicionais de vários fatores, como senhas e senhas de uso único enviadas via SMS”, escreveu a Coalition em 5 de maio.
Sampath SrinivasO diretor de autorização de segurança do Google e chefe da FIDO Alliance disse que, sob o novo sistema, seu telefone armazenará as credenciais FIDO conhecidas como “chave de acesso” usada para abrir sua conta online.
“Com base na criptografia de chave pública, torna muito seguro fazer login com uma senha, pois ela só será exibida em sua conta online quando você abrir seu celular”, escreveu Srinivas. “Você precisará de seu telefone por perto para fazer login no site em seu computador. Você será solicitado a abri-lo para acesso. Depois de fazer isso, você não precisará mais reiniciar o telefone e poderá fazer login desbloqueando o computador.
Como ZDNetGenericName Notas, Apple, Google e Microsoft já oferecem suporte a esses padrões sem senha (por exemplo, “Fazer login com o Google”), mas os usuários devem fazer login em todos os sites para usar a funcionalidade sem senha. Sob o novo sistema, os usuários poderão acessar automaticamente suas senhas em vários dispositivos – sem precisar registrar novamente cada conta – e fazer login em um aplicativo ou site em um dispositivo próximo usando seu dispositivo móvel.
Johannes UlrichPesquisa Adolescente para Empresa de Tecnologia SANSO anúncio foi chamado de “a tentativa mais promissora de resolver o desafio do credenciamento”.
“A parte mais importante desse padrão é que os usuários não precisam comprar um novo dispositivo, mas sim usar os dispositivos que já possuem e saber como usá-los como autenticadores”, disse Ulrich.
De Steve BellowProfessor de Ciência da Computação e Internet Inicial na Universidade de Columbia Pesquisador e pioneiroChamou a “maior melhoria” no reconhecimento da iniciativa sem senha, mas disse que muitos sites levariam muito tempo para se atualizar.
Bellows e outros afirmam que, em uma situação complicada com este novo programa de autenticação sem senha, se alguém perder seu dispositivo móvel ou seu telefone estiver quebrado, não poderá recuperar a senha do iCloud.
“Eu me preocupo com pessoas que não podem pagar por um dispositivo extra ou podem substituir facilmente um dispositivo quebrado ou roubado”, disse Bellowin. “Estou preocupado com a recuperação de senha para contas na nuvem.”
Google Diz Mesmo se você perder seu celular, “suas senhas serão sincronizadas com segurança com seu novo celular a partir do backup na nuvem, permitindo que você recupere seu aparelho antigo do estacionamento”.
A Apple e a Microsoft têm soluções de backup em nuvem que os clientes que usam esses sites podem usar para recuperar de um dispositivo móvel perdido. Mas, de acordo com Bellow, depende de quão seguro esses sistemas em nuvem são gerenciados.
“Quão fácil é adicionar uma chave pública a outro dispositivo sem autenticação?” Belo ficou surpreso. “Acho que a ética deles torna isso impossível, mas outros não concordam.”
Nicholas WeaverProfessor na área de informática Universidade da California, BerkeleyEle disse que os sites devem ter mais algumas etapas de recuperação para a situação de “você perdeu seu telefone e senha”, que ele descreveu como “um problema muito difícil de fazer com segurança e já uma das maiores fraquezas do nosso sistema atual”.
“Se você pode esquecer sua senha, perder seu telefone e recuperá-lo, agora isso é um grande alvo para invasores”, disse Weaver em um e-mail. “Se você esquecer sua senha e perder seu celular, agora perderá seu token de autenticação usado para fazer login. Tem que ser o último. A Apple tem a infraestrutura para apoiá-lo (chaveiro do iCloud), mas não está claro se o Google o fará.
No entanto, ele disse que a abordagem geral do FIDO é uma excelente ferramenta para melhorar a segurança e a usabilidade.
“É um bom passo e estou feliz em ver isso”, disse Weaver. “É muito bom usar a autenticação forte do proprietário do telefone (se você tiver uma senha decente). E pelo menos para o iPhone, até mesmo o comprometimento do telefone pode tornar isso forte, porque é um enclave seguro que lida com isso e não confia em um sistema operacional host de enclave seguro.
Lendas da tecnologia dizem que os novos recursos sem senha serão implementados “no próximo ano” nos sistemas operacionais da Apple, Google e Microsoft. Mas especialistas dizem que ainda levará muitos anos para pequenos sites da Internet adotarem a tecnologia e se livrarem completamente das senhas.
Pesquisas recentes mostram que muitas pessoas reutilizam ou reciclam senhas (modificando levemente a mesma senha), o que representa um risco de aquisição de conta quando essas credenciais são expostas em uma violação de dados. UMA Relatório Marcha da Segurança Cibernética SpyCloud 64% dos usuários descobrem que reutilizam senhas para várias contas e 70% das credenciais comprometidas em violações anteriores ainda estão em uso.
O Livro Branco de março de 2022 sobre a Abordagem FIDO está disponível Aqui (PDF). Tem um FAQ nele Aqui.
“Guru da música. Praticante da web incurável. Pensador. Viciado em zumbis ao longo da vida. Fã de TV. Organizador típico. Estudioso de cerveja do mal.”