Um futuro sem senha pode exigir que nossos telefones sejam chaves de segurança

Senhas fortes são inconvenientes para criar e gerenciar, mas adicionando etapas extras e dispositivos para o processo de autenticação é uma dor de cabeça ainda maior.

Essa é a conclusão de um whitepaper da Fast ID Online Alliance (FIDO), que culpa os problemas de usabilidade por impedir que os mecanismos de autenticação sem senha se tornem populares. No entanto, a aliança apresentou uma solução para resolver o problema de uma vez por todas e tornar o padrão de autenticação FIDO tão onipresente quanto as senhas.

"A FIDO superou todas as expectativas iniciais", Bill Leddy, vice-presidente de produtos da Identificação de usuário, disse à Lifewire por e-mail depois de ler o whitepaper. "[Ele] está muito perto de resolver todos os [problemas] de autenticação, mas precisa de um pouco mais."

Cancelando senhas

Leddy acredita que as senhas sobreviveram ao uso. Ele culpa o setor de segurança por falhar com as pessoas ao pressionar opções fracas por muito tempo.

"As senhas agora têm 60 anos, mas continuam sendo a principal opção de autenticação para a maioria das contas. Os consumidores têm muitas contas diferentes e espera-se que se lembrem de uma senha exclusiva para cada uma. Essa não é uma solução prática", afirmou Leddy. Ele acrescentou que na internet de hoje, onde os sites podem ser facilmente clonados, o trabalho do setor de segurança é equipar as pessoas com as ferramentas certas para evitar violações de contas.

A FIDO Alliance, uma associação aberta do setor, criada para reduzir a dependência de senhas, vem trabalhando no assunto há cerca de uma década. Ele criou o padrão de autenticação FIDO, que não conseguiu ganhar força. No whitepaper, a aliança acha que finalmente identificou a peça que faltava no quebra-cabeça e também delineou uma estratégia para superá-la.

De acordo com a aliança, o atual mecanismo de autenticação sem senha da FIDO tem problemas de usabilidade inerentes que o impediram de alcançar ampla adoção.

"[Nós] observamos adoção limitada [no espaço do consumidor], devido à inconveniência percebida de chaves de segurança física (compra, registrando, carregando, recuperando) e os desafios que os consumidores enfrentam com autenticadores de plataforma (por exemplo, ter que reinscrever cada novo dispositivo; não há maneiras fáceis de recuperar de dispositivos perdidos ou roubados) como um segundo fator", o papel anotou.

Para superar os problemas, o whitepaper pede o uso de nossos smartphones como autenticadores de roaming ou chaves de segurança portáteis.

"O dispositivo de um usuário como autenticador de roaming é uma ótima experiência de usuário e muito mais segura do que as senhas em um dispositivo semiconfiável, se feito corretamente. Como os novos smartphones suportam nativamente o FIDO e os consumidores raramente estão longe de seus telefones, é uma boa opção", concordou Leddy.

O caminho a seguir

No entanto, o whitepaper sugere que, para que os smartphones se tornem bem-sucedidos como chaves de segurança portáteis, a FIDO deve criar um processo tranquilo para as pessoas adicionarem ou alternarem entre seus dispositivos móveis.

Argumenta que se o processo para tarefas essenciais, como configurar um novo telefone ou mudar para um novo, não é simples, então as pessoas provavelmente descartarão toda a ideia como sendo inconveniente. Para evitar isso, o artigo propõe a introdução de uma nova técnica que eles chamam de credenciais FIDO para vários dispositivos, ou "chaves de acesso".

"As credenciais de 'chave de acesso' para vários dispositivos abordam uma questão de longa data sobre o FIDO. A questão era como migrar para um novo dispositivo se eu registrasse 50 credenciais específicas de domínio no meu dispositivo antigo e obtivesse um novo dispositivo. Ninguém quer passar pela recuperação de conta para 50 serviços diferentes para religar novas credenciais FIDO", explicou Leddy.

A FIDO afirma que as chaves de acesso ajudarão a evitar completamente essa situação, garantindo que, quando alternarmos de um dispositivo para outro, nossas credenciais FIDO já estejam esperando por nós. Claro, o artigo é conceitual, e Leddy acha que tal mecanismo é mais fácil de propor do que implementar.

"Seria lamentável se as soluções de chave de acesso fossem específicas do fornecedor para que um consumidor não pudesse trocar entre fabricantes de dispositivos ou mesmo um conjunto heterogêneo (MacBook e telefone Android) de dispositivos", alertou Leddy.

No entanto, ele está confiante de que a aliança FIDO, que conta com pesos pesados ​​como Apple, Meta, Google, PayPal, Wells Fargo, American Express e Bank of America, entre seus membros, apresentarão soluções que não são apenas universais, mas também totalmente testadas contra ataques.

A FIDO acredita que as credenciais FIDO para vários dispositivos se tornarão o último prego no caixão das senhas. "Ao introduzir esses novos recursos, esperamos capacitar sites e aplicativos para oferecer uma opção verdadeiramente sem senha de ponta a ponta; não são necessárias senhas ou senhas de uso único (OTP)", disse a aliança.