Arranjar palavras-passe complexas com minúsculas, maiúsculas e caracteres para aceder às mais variadas aplicações pode revelar-se uma tarefa complicada. Cerca de 23 milhões de pessoas em todo o mundo ainda recorrerem à senha “123456” e muitas utilizam outras senhas simples como “abc123”.

“As palavras-passe trazem muitos problemas. As senhas mais usadas em Portugal e no mundo são coisas como 123456, nomes próprios femininos e masculinos, palavras feias, nomes de clubes de futebol. São muito fácil de adivinhar. Há imensos problemas com as palavras-passe. Uma calamidade conhecida há décadas para a qual não há grande solução”, afirma Miguel Correia, professor do Instituto Superior Técnico e especialista em engenharia informática, em declarações ao Observador. Ainda assim, o Dia Mundial da Password, que se celebra a 5 de maio, veio revelar que podemos estar cada vez mais perto do fim das palavras-passe, que poderão passar a ser uma coisa do passado.

Cerca de 23 milhões de cibernautas têm como password o (habitual) “123456”

PUB • CONTINUE A LER A SEGUIR

Com um número cada vez maior de aplicações e serviços online, as pessoas têm cada vez mais contas e consequentemente mais palavras-passe. Como é difícil recordar e gerir um número elevado de passwords, os indivíduos acabam por reutilizá-las para os mais variados serviços, o que as torna menos seguras. Entrar em aplicações sem ter de introduzir uma senha pode ser a solução, mas será possível? A Google, a Apple e a Microsoft estão a colaborar para, “ao longo do próximo ano”, disponibilizar “suporte aos padrões de autenticação FIDO (Fast IDentity Online) sem palavra-passe” nos seus sistemas. As gigantes tecnológicas querem que seja utilizada uma chave de acesso única para aceder a todos os serviços disponíveis no telemóvel.

“Quando o utilizador se registar num website ou numa aplicação no seu telefone terá apenas de desbloquear o seu telefone — a sua conta não irá precisar mais de uma palavra-passe”, anunciou a Google em comunicado. Assim, em vez de ser solicitada uma senha, é enviada uma notificação para o telemóvel onde é pedida a verificação da identidade da pessoa. O mesmo método que é utilizado para desbloquear o telemóvel — uma impressão digital, um código PIN ou até o reconhecimento facial — chega para aceder a todas as aplicações, sem que exista a necessidade de serem criadas contas ou de introduzir passwords.

O processo de login sem senha permitirá que os indivíduos escolham os próprios telemóveis como o principal dispositivo de autenticação para as aplicações ou sites. No caso de quererem registar-se a partir do computador é apenas necessário ter o telemóvel por perto porque será pedido para o desbloquear para ter acesso à tal aplicação. A partir daqui, o dispositivo não será novamente solicitado e o registo poderá ser feito apenas com o desbloquear do computador. No caso de a pessoa não querer num determinado momento utilizar o telemóvel, mas sim um tablet ou um computador para a autenticação poderá enviar a solicitação de desbloqueio para esse dispositivo utilizando o Bluetooth, noticia a Wired.

Com o novo método de autenticação, o telemóvel armazena então uma credencial FIDO, que é uma chave de acesso, que torna o registo mais seguro, estando apenas acessível quando se desbloqueia o telemóvel. “A mudança completa para um mundo sem palavras-passe começará com os consumidores a torná-lo uma parte natural das suas vidas”, disse o vice-presidente da Microsoft, Alex Simons, citado em comunicado, acrescentando: “Trabalhando juntos como uma comunidade através das nossas plataformas, podemos finalmente alcançar esta visão e fazer progressos significativos no sentido de eliminar as palavras-passe. Vemos um futuro brilhante para as credenciais baseadas em FIDO.”

“Mesmo que perca o telefone, as suas chaves de acesso serão sincronizadas em segurança com o novo telefone a partir do backup na cloud permitindo que o utilizador retome exatamente onde o dispositivo antigo parou”, acrescenta a Google em comunicado. Assim, se a pessoa tiver de mudar de telemóvel, a chave de acesso “viaja” com ela.

“Este marco [da eliminação das passwords] é uma prova do trabalho colaborativo feito em todo o setor [tecnológico] para aumentar a proteção e eliminar a autenticação desatualizada baseada em senhas”, afirma Mark Risher, diretor de produto da Google, citado no mesmo comunicado. “Para a Google representa quase uma década de trabalho que fizemos ao lado da FIDO, como parte da nossa inovação contínua em direção a um futuro sem senhas”, acrescenta.

O iniciar sessão sem palavras-passe

Ilustração que mostra como seria o processo de login sem palavra-passe

O fim das palavras-passe é importante?

O login sem senha contorna a dificuldade de arranjar palavras-passe distintas para cada aplicação ou serviço, não havendo a necessidade de nos lembrarmos dos detalhes do início de sessão para entrarmos nas mesmas. A reutilização de senhas tem sido o principal vetor dos ciberataques nos últimos anos, revela o relatório anual da empresa de cibersegurança SpyCloud.

O especialista em cibersegurança Pedro Veiga explica ao Observador que, como “muitas pessoas utilizam o mesmo username e password em muitos sites”, a reutilização de senhas pode comprometer a segurança informática das pessoas. “Supondo que tem uma conta na Wook, utiliza o seu endereço de email pessoal e tem uma certa password. Possivelmente utiliza esses dados noutros sites de comércio eletrónico. Utiliza na Wook, na Bertrand e pode usar na Amazon. Se um hacker conseguir roubar a sua identificação e password num certo site pode tentar utilizar esses mesmos dados noutros sites. Se um deles for ‘furado’, pode conseguir entrar na sua conta dos outros websites”, alerta.

Mas o fim das palavras-passe tem mais que se lhe diga do que apenas o fim da reutilização de senhas. Ao tornar o início de sessão dependente de um dispositivo físico e de um atributo exclusivo do utilizador — como a impressão digital ou o reconhecimento facial — o mesmo beneficia não só de uma maior simplicidade, como também de mais segurança.

O sistema sem senha deverá tornar mais difícil que os hackers consigam comprometer os detalhes do login remotamente, porque o mesmo requer o acesso a um dispositivo físico, explica o The Verge.  Os ataques de phishing, em que os utilizadores são direcionados para um site falso para captura de senha, também serão mais complicados de organizar. Isto porque a forma mais fácil de roubar as palavras-passe é quando os indivíduos utilizam os serviços comprometidos — onde precisam de inserir uma password — ao navegar na internet.

Pedro Veiga, antigo coordenador do Centro Nacional de Cibersegurança, dá um exemplo prático. “Pressuponha que recebia uma mensagem do Novo Banco a dizer ‘detetámos um problema de segurança com a sua conta. Carregue neste link e altere a sua password’. Supondo que é ingénua, clicava no link e era redirecionada para um site que, do ponto de vista do aspeto, lhe parecia do Novo Banco, mas se olhasse para a barra do endereço percebia que não era. Colocava o username e a password e este site falso capturava os seus dados. Normalmente, recebe uma mensagem de erro a dizer ‘tente novamente’ e quando volta a entrar já está no verdadeiro website, mas os seus dados já foram ‘caçados’ ou ‘pescados'”. Estes casos de phishing falham quando “a questão da senha não existe” — ou com fim das passwords e com a utilização de outros métodos, como os que têm o apoio da Apple, Google e Microsoft.

A utilização do reconhecimento facial ou da impressão digital em detrimento das senhas também tem problemas, uma vez que “não há métodos 100% seguros”. “Há histórias que são contadas, por exemplo, uma esposa que quer desbloquear o telemóvel do marido e encosta o dedo do marido no leitor da impressão digital e consegue desbloquear o telemóvel e tem acesso às mensagens dele”. Apesar de fragilidades como esta, estes métodos “são muito melhores do que o famoso username/password, que é extremamente frágil do ponto de vista da cibersegurança. São sistemas bastantes mais robustos. Para já libertam a pessoa do problema de memorizar as passwords e depois têm a vantagem de utilizar algo além de username/password”, acrescenta Pedro Veiga em declarações ao Observador.

Já Miguel Correia, especialista em engenharia informática, concorda que a impressão digital ou o reconhecimento facial também têm problemas porque “não se podem mudar ou por vezes mudam-se acidentalmente”.

A pessoa queima o dedo e deixa de ter impressão digital. Ou a pessoa está com pior cara porque está doente e o reconhecimento deixa de funcionar. Mas, ainda assim, resolvem, de facto, em muito, os problemas das palavras-passe”, salienta.

A Google, Apple e Microsoft vão fazer as palavras-passe desaparecer?

Algumas aplicações já incluem o processo para a autenticação FIDO, mas o login inicial exige ainda a utilização de uma senha para que este sistema possa ser configurado. O anúncio feito pela Google, Microsoft e Apple é uma atualização a este recurso que irá acabar com a exigência inicial de uma palavra-passe, explicou Sampath Srinivas, presidente da FIDO Alliance, em nota enviada ao The Verge. Desta forma, este sistema vai possibilitar que “os sites implementem, pela primeira vez, uma experiência sem senha de ponta a ponta com segurança resistente a phishing” quer no primeiro login num determinado site, quer nos acessos seguintes. O utilizador passará a poder criar contas sem precisar de uma password logo na primeira utilização.

Quando o suporte à chave de acesso estiver disponível em todo o setor [tecnológico] em 2023, finalmente teremos a plataforma que é a internet para um futuro verdadeiramente sem senha”, vinca Sampath Srinivas, cujas declarações são confirmadas por um comunicado da FIDO que revela que “o novo sistema deve chegar às plataformas Apple, Google e Microsoft ao longo do próximo ano”.

O projeto anunciado a 5 de maio pelas três gigantes tecnológicas deverá ser implementado no início do próximo ano — embora não tenha sido revelada uma data exata — e está a ser desenvolvido em conjunto com o World Wide Web Consortium (W3C), responsável pela promoção de padrões da internet, e a FIDO Alliance, consórcio lançado em 2013 com o objetivo de eliminar a dependência de passwords.

Quando criamos uma conta numa aplicação somos instruídos a utilizar uma password complexa, mas também exclusiva para cada serviço online. Muitas pessoas ainda utilizam senhas repetidas e simples, que podem comprometer a segurança dos seus dados pessoais. O medo dos ciberataques e a tentativa de impedir que as contas sejam hackeadas levou um número crescente de utilizadores e empresas a introduzir a autenticação de dois fatores para login. Agora, a Apple, a Google e a Microsoft querem alterar a forma como iniciamos a sessão nas aplicações, com a eliminação das palavras-passe. O sistema deverá estar disponível em Android e Google Chrome, no sistema iOS, MacOS e Safari e ainda no Windows e no Edge.

As senhas não vão certamente desaparecer do dia para a noite, mas com este anúncio podem ter seriamente os dias contados? “Não”, garante Miguel Correia ao Observador. “Convencer toda a gente a mudar não é fácil. Os problemas permanecerão, mas podem diminuir. [O novo método] Pode não resolver o problema das passwords de todo o mundo ou de todas as pessoas, mas pode resolver de empresas com problemas de segurança mais críticos. É melhor do que nada”.