Recentemente venalizou em redes sociais um vídeo no qual um canadense revelava o quão vulneráveis são os cofres que usamos em quartos de hotéis. O que acontece é que, normalmente, os hotéis usam uma senha-padrão para abrir cofres, em caso de o hóspede esquecer a senha que criou. Um tipo de "senha do administrador" que, segundo o vídeo, normalmente é formada por uma sequência de números zero, "1234" ou coisa similar.
Um pouco antes disso, há alguns meses, as contas do Twitter e do Pinterest de Mark Zuckerberg foram hackeadas. De acordo com o autor da façanha – um usuário com o nome de OurMine Team – a senha utilizada por Mark Zuckerberg era "dadada". Além de criar uma senha curta e simples, o CEO do Facebook também cometeu o erro de reutilizá-la em diferentes sistemas.
Finalmente, você saberia informar a senha de administração do seu modem ADSL doméstico? Se você nunca a alterou é possível que ela não seja tão forte, podendo inclusive ser uma senha padrão do fabricante, disponível em manuais na Internet.
Imagine pensar que esse tipo de coisa ocorre com contas de milhões de pessoas em serviços de Internet, assim como milhões de equipamentos e sistemas conectados na rede e chegaremos à conclusão estarrecedora de que se trata não apenas de uma vulnerabilidade, mas sim de uma verdadeira epidemia. A realidade é que apesar das recomendações para que os usuários evitem o uso de senhas muito simples em suas contas, "123456" e "password" ainda ocupam as duas primeiras posições no ranking das mais usadas no último ano, segundo alertam alguns estudos de especialistas em segurança. Idem para senhas padrão. E note que não estamos falando apenas de senhas de usuários de tecnologia, ainda se percebe algo similar em contas de usuários de administração de sistemas críticos.
Uma forma de combater esta epidemia é com adoção de políticas de senhas fortes, com número mínimo de caracteres, exigência de maiúsculas e minúsculas, letras, números e caracteres especiais vêm sendo adotadas. Exigir troca periódica é uma boa prática igualmente bastante adotada. Estas políticas sem dúvida são positivas, mas por outro lado impactam na experiência do usuário. São cada vez mais senhas para lembrarmos, cada vez mais complexas, e que devem ser trocadas periodicamente. Muitos usuários optam por escrevê-las em algum lugar.
Outro modo é com a utilização de sistemas de Reduced Sign-on (RSO) ou Single Sign-on (SSO). São usados com frequência, com o objetivo de melhorar a experiência do usuário, sua produtividade e mesmo reduzir custos operacionais de TI (por exemplo, custos de Service Desk relacionados a senhas esquecidas). A utilização destes sistemas, aliada a políticas de senhas fortes, é um avanço. Mas não resolve um problema chave. Ou seja, um roubo de identidade ou uma senha vazada pode dar acesso ilegítimo a um criminoso a todos os sistemas que a vítima usa de forma legítima.
Para mitigar este risco temos uma terceira abordagem, na qual se adotam sistemas de autenticação com múltiplos fatores (MFA), como o uso de senhas Tokens (hardware ou software), biometria comportamental ou física, PINs e senhas de uso único (enviadas por SMS, por exemplo). O uso de MFA sem dúvida mitiga os riscos do roubo de identidade e todas as fraudes que dele decorrem, mas ao custo de tornar a usabilidade um pesadelo. Reconhecimento facial e de voz, digitais e mesmo íris começam a se tornar disponíveis em dispositivos móveis. Aos poucos, as barreiras culturais de uso de biometria vão sendo quebradas. Por que não usá-los? Ou, mesmo que não os utilize, tokens em aplicativos móveis são bastante convenientes e uma opção em muitos casos de uso. Principalmente agora que já não se recomenda mais o uso de SMS para envio de senhas de uso único.
Desta forma, torna-se necessário acrescentar a usabilidade na equação, partindo para um quarto e mais avançado modelo: adoção de SSO ou RSO, junto com MFA, mas exigir novos fatores apenas quando necessário de acordo com o risco da transação, de forma que a experiência e a produtividade do usuário possam ser melhoradas. Assim, não é necessário exigir diversos fatores de autenticação toda hora, mas apenas quando a transação exigir. Diversos critérios de risco como tipo da transação, montante de valor transacionado, perfil de uso (horário, localização geográfica, dispositivo normalmente utilizado, etc.) podem ser incorporados a um motor de avaliação de risco, alimentado por Algoritmos de Análise de Dados (Data Analytics). Assim, por exemplo, uma consulta de saldo no banco feita a partir de um navegador web na sua casa pode exigir diferentes fatores do que uma transferência para conta de terceiros, realizada no dispositivo móvel, em meio a uma viagem ao exterior.
O importante aqui é avaliar os riscos, as necessidades de negócio (perfil demográfico dos usuários, fluxo dos processos de negócio, requisitos de usabilidade, entre outros) e definir um sistema que não apenas mitigue os riscos, mas que o faça sem paralisar os negócios.
Autenticação está longe de ser um desafio novo, mas ao mesmo tempo segue como um desafio não endereçado, conforme vimos acima. Diferentes tecnologias e práticas já foram inventadas para atacar a questão. O problema atual é justamente o fato de existir muitas opções e, em muitos casos, várias são usadas sem que o resultado seja efetivo, ou impactem na experiência e produtividade do usuário. É preciso avaliar fatores como riscos, conveniência para o usuário, bem como recursos disponíveis, para escolher formas adequadas de autenticação. O que não dá mais é para ficar à mercê de senhas fracas.
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.
