Em teoria, a segurança do login e da senha deveria ser impenetrável, mas a cada dia, esse modelo de autenticação tem se provado inseguro, falho e com os dias contados.

A dupla login e senha ainda é um padrão de segurança para o acesso a qualquer atividade digital. Contudo, à medida que novas violações ocorrem, especialistas se convencem de que o método está longe de ser seguro em um mundo cada vez mais digital e interconectado. Senhas fracas, repetidas ou até mesmo escritas em um post-it esquecido na gaveta do escritório são apenas algumas das razões que mostram a fragilidade do sistema.

“Um estudo anual da Verizon diz que em torno de 84% das violações de segurança estão ligadas a senhas roubadas ou fracas. Portanto, em se tratando de segurança de sistemas e dispositivos, login e senha é uma tecnologia que chegou ao seu limite e seu uso deve ser urgentemente abandonado, pois não oferece proteção suficiente”, conta Cristiano Kruger Iop, fundador, membro do conselho e diretor de Produtos da Sikur

Ele lembra que, mesmo senhas ditas “fortes”, com letras maiúsculas, minúsculas, números e caracteres especiais, não são suficientes. O especialista, conta, ainda, que as iniciativas de melhorar a segurança do login e senha, como no 2FA (Segundo Fator de Autenticação), também possuem brechas comprovadamente exploradas por criminosos.

“Esse tipo de autenticação, que majoritariamente utiliza login e senha, foi sistematicamente violado por especialistas de segurança e até mesmo por curiosos, sendo uma opção bem frágil do ponto de vista de segurança, aumentando significativamente os riscos do processo”, lembra Cristiano.

Mas o que há no horizonte?

Bem, não tão no horizonte assim, já existem diversos mecanismos de verificação de identidade sem senha sendo amplamente utilizados. São os chamados “passwordless”, impulsionados justamente pelas falhas frequentes da famosa dupla de autenticação.

“Muita gente já utiliza sistemas sem senha e nem se dá conta disso. Por exemplo, quando a gente utiliza a biometria para acessar o telefone com a impressão digital ou em sistemas que fazem reconhecimento da face”, conta Alexandre Vasconcelos, diretor do Security Design Lab (SDL) para a América Latina.

Bancos, sobretudo os digitais, também usam biometria como recurso. Eles pedem para o cliente fazer selfies, olhando para um lado e para o outro. Assim, podem realizar um mapeamento e associá-lo à biometria facial já cadastrada no smartphone da pessoa. Esses sistemas biométricos, segundo os especialistas, são, em geral, bem eficazes para impedir o acesso não autorizado às contas.

“A biometria é parte deste processo de robustecimento da segurança, devendo ser utilizada com cuidado e critério, pois é um fator de identificação único, ou seja, que não pode ser substituído. Mas trata-se de um recurso muito seguro, pois identifica de maneira única um indivíduo, garantindo o não-repúdio, um outro fator de grande importância quando o assunto é autenticação”, explica Cristiano Kruger Iop. E ele completa:

“Apesar de relativamente recente, a tecnologia passwordless já está em plena implementação, inclusive por parte de empresas de todos os tamanhos, como Sikur, Apple e Microsoft. O elemento que realiza a autenticação fica armazenado no dispositivo móvel do usuário em um hardware especializado para este fim e protegido pela biometria dele, permitindo uma autenticação robusta e em conformidade com as leis de proteção de dados, como LGPD e GDPR.” 

Identidades virtuais

Outros mecanismos de segurança, além da biometria, vêm ganhando espaço nas operações digitais.

“Existem hoje vários modelos de aplicativo, que transformam o seu celular num token de autenticação. Ele funciona como uma chave. O usuário tem algo como uma identidade digital que sempre vai identificá-lo quando precisar, sem a necessidade de senha”, ilustra Alexandre.

A informação da autenticação, portanto, sempre fica com o usuário, ela não está armazenada em nenhum outro lugar. Alexandre Vasconcelos dá outro exemplo:

“Para ver o resultado de exames em um site de laboratório, geralmente havia um usuário e senha que davam acesso ao documento. Agora, esse processo tende a ser diferente. Em vez de usuário e senha, você tem uma identidade digital no telefone através de um aplicativo. Então, quando for checar o resultado do laboratório, vai aparecer um QR Code na tela. Você abre seu aplicativo com a sua biometria, vai ler esse QR Code e consegue autenticar.”

Webinar completo e gratuito sobre "Cibersegurança e a LGPD". Assista agora!

O que mais vem por aí?

Login e senha, na visão de especialistas, já estão obsoletos e devem ser progressivamente deixados de lado na segurança digital. Para os próximos anos, porém, a expectativa é do fortalecimento da criptografia. Além disso, segundo Alexandre Vasconcelos, a gestão de ativos críticos deverá ser mais centralizada.

“Cada vez mais, teremos mecanismos para poder fazer a gestão de ativos críticos em um único lugar, eliminando a senha do dia a dia”. 

Outra tendência forte, de acordo com Alexandre, é o aumento da conscientização da importância da segurança digital.

“A tecnologia muda rapidamente, mas a conscientização das pessoas e das empresas ainda está em evolução. Mas ela está melhorando, o que deve trazer bons resultados. As questões regulatórias impulsionam essa conscientização. Não é simplesmente obedecer a lei, mas as empresas já estão entendendo que precisam estar em conformidade para serem mais fortes e competitivas. Isso as leva a fazer negócios com mais robustez”, conclui Alexandre Vasconcelos.