Por mais de uma década, nos foi prometido que um mundo sem senhas está ao virar da esquina, mas ano após ano, esse nirvana de segurança se mostra fora de alcance. Agora, pela primeira vez, uma forma viável de autenticação sem senha está prestes a se tornar disponível para as massas na forma de um padrão adotado pela Apple, Google e Microsoft que permite senhas multiplataforma e multisserviço.

Os esquemas de quebra de senhas lançados no passado sofriam de vários problemas. Uma deficiência fundamental era a falta de um mecanismo de recuperação viável quando alguém perdia o controle de números de telefone ou tokens físicos e telefones vinculados a uma conta. Outra limitação era que, em última análise, a maioria das soluções não podia, de fato, ser realmente sem senha. Em vez disso, eles deram aos usuários opções para fazer login com uma varredura facial ou impressão digital, mas esses sistemas acabaram se transformando em uma senha, e isso significava phishing, reutilização de senhas e senhas esquecidas todas as razões pelas quais odiamos senhas para começar, não não vá

Uma nova abordagem

O que é diferente desta vez é que Apple, Google e Microsoft parecem concordar com a mesma solução bem definida. Não apenas isso, mas a solução é mais fácil do que nunca para os usuários e mais barata para grandes serviços como Github e Facebook. Ele também foi cuidadosamente projetado e revisado por especialistas em autenticação e segurança.

Os métodos atuais de autenticação multifator (MFA) fizeram avanços significativos nos últimos cinco anos. O Google, por exemplo, me permite baixar um aplicativo iOS ou Android que uso como segundo fator ao fazer login na minha conta do Google a partir de um novo dispositivo. Baseado em CTAP, abreviação de protocolo de cliente para autenticador—este sistema usa Bluetooth para garantir que o telefone esteja próximo ao novo dispositivo e que o novo dispositivo esteja, de fato, conectado ao Google e não a um site disfarçado de Google. Isso significa que não é phishing. O padrão garante que o segredo criptográfico armazenado no telefone não possa ser extraído.

O Google também oferece um Programa Proteção Avançada que requer chaves físicas na forma de dongles separados ou telefones de usuários finais para autenticar logins de novos dispositivos.

A grande limitação no momento é que o MFA e a autenticação sem senha são implementados de forma diferente, se for o caso, por cada provedor de serviços. Alguns provedores, como a maioria dos bancos e serviços financeiros, ainda enviam senhas de uso único via SMS ou e-mail. Reconhecendo que esses não são meios seguros de transportar segredos sensíveis à segurança, muitos serviços mudaram para um método conhecido como TOTP, abreviação de senha de uso único baseada em tempo— para permitir a adição de um segundo fator, que efetivamente aumenta a senha com o fator “algo que eu tenho”.

Chaves de segurança física, TOTPs e, em menor grau, autenticação de dois fatores via SMS e e-mail representam um avanço significativo, mas permanecem três limitações principais. Primeiro, os TOTPs gerados por meio de aplicativos autenticadores e enviados por mensagem de texto ou e-mail. eles são phishing, da mesma forma que as senhas normais. Segundo, cada serviço tem sua própria plataforma MFA fechada. Isso significa que, mesmo ao usar formas de MFA que não permitem falsificação, como chaves físicas separadas ou chaves baseadas em telefone, um usuário precisa de uma chave separada para Google, Microsoft e qualquer outra propriedade da Internet. Para piorar a situação, cada plataforma de sistema operacional possui mecanismos diferentes para implementar a MFA.

Esses problemas dão lugar a um terceiro: inutilização completa para a maioria dos usuários finais e o custo e a complexidade não triviais que cada serviço enfrenta ao tentar oferecer MFA.