book_icon

Gerenciamento seguro de senhas: desafios de um ecossistema em constante evolução

No ambiente online, os usuários estão constantemente se inscrevendo em serviços que solicitam um registro acompanhado de um nome de usuário e senha, e é usual que a maioria escolha gerar combinações simples e reutilizá-las em vários sites ao mesmo tempo.

No entanto, isso pode trazer problemas, especialmente quando a segurança de um serviço online está comprometida com milhões de usuários e esses dados ficam disponíveis para que qualquer pessoa tente se autenticar.

As brechas de segurança que vimos nos últimos anos só cresceram progressivamente, e é raro encontrar alguém que não tenha recebido, em algum momento, um aviso de um dos muitos serviços que foram comprometidos. Se você acha que não é seu caso, te convido a visitar o site Have I been Pwned? e digitar alguns de seus endereços de e-mail para verificar que provavelmente alguma conta online sua já sofreu problemas de segurança.

O aconselhável seria que, antes de uma situação desse tipo, ou mesmo periodicamente, mudássemos nossas senhas por uma combinação de caracteres suficientemente longa e robusta.

No entanto, lembrar de muitas senhas complexas pode ser difícil para a maioria de nós, e isso faz com que muitos acabem anotando as informações em papéis ou até mesmo em um documento de texto no computador, sem pensar que alguém poderia obtê-los, comprometendo toda a segurança. Para facilitar o gerenciamento dessas senhas, há aplicativos que as armazenam de forma segura, conhecidos como gerenciadores de senhas.

Embora o uso de senhas ainda esteja muito presente no dia-a-dia, nota-se uma tendência a substituí-las por algum método mais prático e seguro, ou pelo menos complementá-las com uma camada de segurança adicional.

Talvez, a opção mais simples e econômica que temos hoje é usar ferramentas de autenticação de fator duplo, que nos permitem gerar um código temporário para se registrar em uma sessão de um serviço on-line. O mais conhecido atualmente é o Google Authenticator, que permite usar o celular como um gerador de códigos únicos. Desta forma, ao inserir nome de usuário e senha, também será solicitado o código gerado por este aplicativo, evitando que as credenciais sejam usadas de maneira fraudulenta, uma vez que não é possível acessar a conta sem a introdução do código.

Há outros tipos de autenticação, mais confortáveis, como a biometria, já conhecida pelos usuários de dispositivos móveis, como smartphones ou tablets, Por meio da impressão digital, rosto ou até mesmo a íris, é possível identificar o dispositivo, sem a necessidade de inserir dados.

Os avanços neste campo levaram à introdução, pouco a pouco, de novas formas de autenticação biométrica, como as pulseiras que medem nossa frequência cardíaca. O ritmo exclusivo e preciso do coração pode ser usado como uma alternativa às senhas, identificando um usuário de forma remota e não só para acessar seu computador, mas também seu carro, sua casa ou fazer pagamentos em lojas.

Outro conceito de autenticação biométrica inclui identificar a maneira de caminhar, talvez não tão prático para aqueles que simplesmente precisam fazer login em seu computador do trabalho, por exemplo, mas muito útil em casos de necessidade de alto nível de segurança. Uma pulseira digital poderia ser usada para monitorar sua caminhada, velocidade, equilíbrio e peso e permitir que você se registre no computador combinando os dados obtidos com uma amostra previamente gravada.

No entanto, nem tudo é tão bonito quanto parece, e inúmeras investigações mostram que é possível enganar esses sistemas de autenticação se eles não estiverem bem implementados. Na verdade, o principal problema com autenticação biométrica é que ela usa características físicas que não podem ser alteradas (como nossa impressão digital), de modo que, caso haja comprometimento dessa informação, esse sistema não será mais eficaz.

Apesar dos logins e senhas serem atualmente a principal medida de segurança para milhões de usuários em todo o mundo, já há alternativas e complementos palpáveis que proporcionam maior segurança e que, pouco a pouco, estão sendo implantados. Este é um campo que evolui rapidamente e cujo objetivo é banir, de uma vez por todas, os problemas causados por mecanismos de autenticação que são muito básicos e inseguros, especialmente devido à má gestão dos mesmos pelos usuários.

*Camillo Di Jorge é Country Manager da ESET e especialista em segurança da informação

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.