A Apple, a Microsoft e a Google querem mudar o paradigma das palavras-passe. Se hoje o mundo está seguro pelas senhas, passwords e combinações de letras, números e símbolos, isso poderá estar a acabar.
No iOS 15, a Apple quer substituir as palavras-passe por chaves protegidas através do Face ID e Touch ID.
PUB
Empresas querem o fim das palavras-passe
Nos últimos anos, a Apple tem dedicado uma especial atenção à privacidade e segurança. Do Face ID à encriptação dos dados nos dispositivos, passando pelo Início de sessão com a Apple, e mais recentemente com medidas do tipo App Tracking Transparency, a empresa quer reforçar o seu ecossistema para que permite uma “inviolabilidade” nos vários níveis.
A Apple não está sozinha neste desafio, até porque ainda recentemente a Microsoft lançou um desafio para 2021 de se deixar de usar palavras-passe, e a própria Google tem já sistemas de autenticação bem afinados.
iCloud Keychain: logon tão fácil, mas muito mais segura
A Apple começou a testar as chaves de acesso, uma nova tecnologia de autenticação que diz ser tão fácil de usar quanto as palavras-passe, mas muito mais segura.
Parte do iCloud Keychains, uma versão de teste da tecnologia, virá com iPhones, iPads e Macs ainda este ano.
A chave de acesso da Apple na demonstração do iCloud Keychain permite que o utilizador configure contas com apenas um iPhone e Face ID (à esquerda e no centro). Quando é feito o login na aplicação ou no site mais tarde, o sistema confirma o nome de utilizador e o nome da aplicação, e verifica a identidade com o Face ID (à direita).
Para configurar uma conta num site ou aplicação usando uma palavra-passe, primeiro a pessoa escolhe um nome de utilizador para a nova conta e, em seguida, usa o Face ID ou Touch ID para confirmar se é realmente a pessoa quem está a usar o dispositivo.
Portanto, o utilizador nunca irá escolher uma palavra-passe. O seu dispositivo irá sim gerar e armazenar essas passwords dentro do armazenamento de chaves de acesso. Desta forma, o iCloud Keychain sincroniza em todos os seus dispositivos Apple.
E como será usada a tecnologia?
Sempre que um serviço ou aplicação solicite o login, a pessoa terá que confirmar o seu nome de utilizador e verificar a identidade através do Face ID ou Touch ID.
Os programadores devem atualizar os seus procedimentos de login para suportar chaves de acesso, mas é uma adaptação da tecnologia WebAuthn existente.
Porque é apenas um toque para entrar, é simultaneamente mais fácil, rápido e seguro do que quase todas as formas comuns de autenticação atuais.
Disse Garrett Davidson, engenheiro da Apple ligado ao sistema de autenticação da Apple, na WWDC2021.
A tecnologia por trás das chaves de acesso da Apple é baseada na tecnologia WebAuthn que surgiu da FIDO (Fast Identity Online) Alliance, um consórcio que está a rever a autenticação com chaves de segurança de hardware.
A abordagem da Apple abrange uma parte fundamental do WebAuthn, a combinação de chaves de criptografia públicas e privadas que já estão profundamente integradas à segurança de comunicação e muitos outros processos estabelecidos.
A tecnologia funciona apenas com dispositivos Apple, mas a empresa reconhece que o sucesso das chaves de acesso requer disponibilidade em computadores Windows e smartphones Android também.
Para isso, a Apple está a dialogar com parceiros da indústria na FIDO e no World Wide Web Consortium (W3C) sobre a tecnologia.
Apple, Google e Microsoft no combate ao Phishing
As chaves de acesso são o exemplo mais recente do crescente interesse na tecnologia de login sem palavra-passe, projetada para ser mais segura do que a lista de passwords que os utilizadores colam ao lado do monitor.
As palavras-passe convencionais são afetadas por falhas de segurança, principalmente a nossa incapacidade de criar e lembrar combinações exclusivas. É por isso que a Apple, com a Microsoft, Google e outras empresas, estão a trabalhar para encontrar alternativas.
A vulnerabilidade de segurança mais comum hoje ainda são as fracas palavras-passe. Em última análise, temos a missão de criar um futuro sem as palavras-passe.
Referiu Jen Fitzpatrick, vice-presidente de sistemas centrais da Google, na conferência de programadores I/O da Google em maio.
Mais de 200 milhões de titulares de contas fazem o login sem palavra-passe nos serviços da Microsoft. Em comparação, o site de segurança Have I Been Pwned registou mais de 613 milhões de palavras-passe roubadas.
O responsável do site, Troy Hunt, é consultor da Microsoft e, em maio, começou a adicionar palavras-passe que o FBI descobriu terem sido comprometidas.
Palavras-passe: Bloquear ataques de phishing
O Phishing é um problema que as chaves de acesso da FIDO, WebAuthn e da Apple foram projetadas para corrigir. A tecnologia de login é emparelhada com uma aplicação ou site específico, portanto, não funciona se alguém tentar enganá-lo para fazer login numa falsificação.
Estas abordagens significam que os servidores que lidam com o login não necessitam de receber as chaves que são os tesouros para os hackers.
Os servidores são alvos menos valiosos porque não há segredos de autenticação para um invasor roubar.
Explicou Davidson da Apple.
As chaves de segurança de hardware também bloqueiam o phishing, mas apresentam uma série de desvantagens, por exemplo, a necessidade de carregá-las constantemente e a dificuldade de recuperar os privilégios de login da conta se o fob for perdido.
Um fob, vulgarmente chamado chave fob, é um pequeno dispositivo de hardware de segurança com autenticação incorporada utilizado para controlar e proteger o acesso a dispositivos móveis, sistemas informáticos, serviços de rede e dados. O fob exibe um código de acesso gerado aleatoriamente, que muda periodicamente, normalmente a cada 30 a 60 segundos.
Apple quer um sistema de autenticação ainda mais forte
As chaves de acesso contornam os dois problemas, afirma a Apple. Todos já as carregam no seu telefone, rosto e dedos. As contas podem ser recuperadas através do iCloud Keychain da Apple se os dispositivos de um utilizador forem perdidos, danificados ou roubados.
Ainda não está claro como funcionará este ponto das chaves de acesso além dos dispositivos da Apple. (A Apple criptografa os dados do iCloud Keychain, e reconstrói-os sem um dispositivo pode exigir uma palavra-passe usada anteriormente).
A Apple não vê as chaves de acesso como autenticação de dois fatores, uma abordagem de proteção de login forte que comummente associa as palavras-passe com outras etapas de autenticação, como uma leitura biométrica. Contudo, a empresa acredita que as chaves de acesso são fortes o suficiente para reduzir a necessidade de autenticação de dois fatores.
A empresa de Cupertino está a disponibilizar uma versão de amostra das chaves de acesso em compilações de programadores do futuro iOS, iPadOS e macOS. Ele é desativado nativamente enquanto a Apple e os programadores externos testam a tecnologia.
Fonte: Pplware.
