No princípio era a senha. E a senha era fraca e previsível e aí veio o teclado virtual.
Mas o teclado virtual era pesado, complexo de se instalar e não funcionava em qualquer navegador e vieram os cartões de segurança (aqueles que vinham com várias combinações de números pra usar no internet banking e nos caixas eletrônicos) e depois vieram os "tokens" e os equipamentos biométricos (como leitores de impressões digitais e scanners biométricos)...
E mesmo após todo este avanço, nós continuamos tendo nossas senhas roubadas e nossas vidas digitais devassadas e muitas vezes destruídas por criminosos digitais que não tem nenhum respeito pela privacidade alheia... Isso acontece porque biometria (que na minha opinião seria uma solução definitiva e extremamente segura) ainda é muito cara e a aceitação e adaptação dos sites dependeria de uma API aberta e amplamente utilizada, o que parece que ainda levará alguns anos pra acontecer. Mesmo com o exponencial aumento na venda de notebooks com leitores biométricos, me parece muito distante a adoção deste tipo de solução em escala na internet... E então? Existe uma solução? Como resolver a questão da segurança de senhas na internet sem ter que decorar sequências como "3st@s3nh4ec0mpl1c4dapr@c@r4mba" e sem ficar paranóico com
keyloggers e outros recursos de roubo de senhas na internet?
Na minha opinião, enquanto a biometria não pode ser utilizada em larga escala no mundo das autenticações online (o que é realmente algo lamentável, considerando que estamos em 2010), uma excelente saída seria a combinação de duas tecnologias simples e que já são utilizadas hoje em dia: O uso de "
Grades de Autenticação" (Iguais ao usado pelo
fantástico site LastPass) ou "Cartões de combinações de senhas" (como usadas no
maravilhoso site PassPack) e o uso de envio de senhas temporárias via SMS (do mesmo jeito que o Orkut manda avisos pelo celular... Basta configurar)
Então, como funcionaria esta combinação de tecnologias?
Muito simples:
02) Caso você perdesse seu "Grid de Senhas" (ou tivesse algum problema que inviabilizasse o uso do programa no celular) poderia pedir que o Google (ou outro site) enviasse uma senha temporária através dos seus celulares previamente cadastrados (custos pagos pelo usuário, claro) para que fosse possível ao usuário cadastrar uma nova "senha fixa temporária - ficou horrível isso..." enquanto não fosse possível cadastrar ou solicitar outro "Grid" ou instalar o software em outro celular e refazer o processo de cadastramento.
O processo parece complicado, mas na verdade, não é. Apenas é um pouco complicado pra explicar. Afinal, se trata de um processo simples de "
autenticação de dois fatores" onde ALGO QUE VOCÊ SABE é adicionado a ALGO QUE VOCÊ TEM para gerar uma autenticação ainda mais segura.
Algumas iniciativas bastante promissoras estão nascendo para solucionar o problema da segurança de senhas online e do roubo das mesmas.
O
RSA SecurID Software Token App está disponível na App Store gratuitamente. O RSA SecurID Software Token Seed necessário, bem como o RSA Authentication Manager, software que aciona o sistema RSA SecurID, estão disponíveis mundialmente para compra.
O aplicativo para token via software pode ser instalado facilmente no iPhone do usuário por meio de um simples download na App Store. Basta um toque para o usuário habilitar o aplicativo com um exclusivo software token seed fornecido por sua organização de TI, criando um autenticador conveniente, seguro e eficaz em termos de custos.
Ainda sobre iniciativas de segurança online, podemos citar os protocolos
OpenID,
OATH,
SAML, entre outras tecnologias utilizadas para aumentar a confiabilidade dos nossos logins diários. Iniciativas como esta levam a um cenário onde os usuários de serviços na internet precisarão
ter apenas um único login, universal e exclusivo, que os identificará em toda a internet. É uma visão utópica, com certeza, mas nem por isso impossível.
Mas como o usuário "comum" (leia-se: não nerd) pode tirar proveito de todas estas iniciativas de segurança? Como é possível para o usuário final e se sentir tão seguro no computador da lanhouse quanto no computador de casa, ao acessar sites com dados vitais, documentos sigilosos e informações de fundamental importância?
A solução é mais simples do que parece e custa menos do que se pensa!
Procurando na internet estes dias material para escrever este artigo (que estava como "rascunho" a muito tempo) encontrei algo que pode literalmente salvar as senhas (e em alguns casos, a vida ;) de muita gente (eu, inclusive): A
YubiKey
Este
pequeno e barato produto funciona de forma bastante
simples e muito segura. A única coisa que vc precisa fazer é encaixar a pequena "chave" em uma porta USB e colocar seu dedo (qualquer um) sobre uma pequena área sensível ao toque. Simples assim!
Apesar do sistema não utilizar biometria (como eu achava no começo), o sistema funciona muito bem, impedindo que sua senha seja capturada e utilizada indevidamente, tendo em vista que o sistema gera senhas únicas a cada autenticação.
Existe um
canal no YouTube com vários vídeos úteis à respeito do produto. Se você se interessa MESMO pela segurança dos seus dados, deveria considerar a compra deste "brinquedinho".
Acredito que com a massificação deste tipo de produto - ou solução - ficará cada vez mais fácil (e mais seguro) acessar serviços web em segurança e com confiança de confidencialidade.
Quando eu comprar minha YubiKey eu faço um review pra vocês...
Um abraço.
No princípio era a senha. E a senha era fraca e previsível e aí veio o teclado virtual.
E mesmo após todo este avanço, nós continuamos tendo nossas senhas roubadas e nossas vidas digitais devassadas e muitas vezes destruídas por criminosos digitais que não tem nenhum respeito pela privacidade alheia... Isso acontece porque biometria (que na minha opinião seria uma solução definitiva e extremamente segura) ainda é muito cara e a aceitação e adaptação dos sites dependeria de uma API aberta e amplamente utilizada, o que parece que ainda levará alguns anos pra acontecer. Mesmo com o exponencial aumento na venda de notebooks com leitores biométricos, me parece muito distante a adoção deste tipo de solução em escala na internet... E então? Existe uma solução? Como resolver a questão da segurança de senhas na internet sem ter que decorar sequências como "3st@s3nh4ec0mpl1c4dapr@c@r4mba" e sem ficar paranóico com keyloggers e outros recursos de roubo de senhas na internet?
Na minha opinião, enquanto a biometria não pode ser utilizada em larga escala no mundo das autenticações online (o que é realmente algo lamentável, considerando que estamos em 2010), uma excelente saída seria a combinação de duas tecnologias simples e que já são utilizadas hoje em dia: O uso de "Grades de Autenticação" (Iguais ao usado pelo fantástico site LastPass) ou "Cartões de combinações de senhas" (como usadas no maravilhoso site PassPack) e o uso de envio de senhas temporárias via SMS (do mesmo jeito que o Orkut manda avisos pelo celular... Basta configurar)
