As passwords são um problema grave no mundo tecnológico atual e já o eram desde os bares speakeasy norte-americanos que surgiram em 1920 durante a Lei Seca. Este bares para contornar a proibição de venda de bebida alcoólica, pediam uma senha para autorizar a entrada. Sistema que facilmente era quebrado pois as passwords eram muitas vezes reveladas e facilmente adivinhadas pelos agentes de autoridade. Qual o problema? A password por ser um segredo, algo que nós sabemos, tem tendência a ser revelada ou adivinhada, é a natureza humana.
Há algum tempo que o problema tem vindo a ser mitigado com sistemas de autenticação multifator que complementam a password com “algo que eu tenho” (o equipamento) ou “algo que eu sou” (biometria), pelo menos para os sistemas críticos do nosso dia-a-dia. Claro que isto aplica-se na nossa vida pessoal, como consumidores, porque a nível empresarial a adoção da autenticação multifator está muito atrasada de forma geral e muito por custa dos pequenos fabricantes de software, que resistem em adotar estes mecanismos ou a retirar partido das integrações que os grandes players como a Microsoft oferecem.
Com o avanço dos equipamentos móveis e os respetivos sistemas biométricos, a tendência, tem vindo a ser terminar com o uso da password ou qualquer tipo de segredo, substituindo a autenticação por dois fatores mais robustos: “algo que eu tenho” e “algo que eu sou”. Nestes casos a password continua a existir, mas apenas é pedida em situações específicas e de exceção. O facto de nunca ou quase nunca usarmos a password torna-a também menos suscetível a ser comprometida em ataques de phishing, pois aos poucos desabituamo-nos de a introduzir e torna-nos mais céticos e conscienciosos em relação à introdução da mesma.
Eu tenho noção que tenho algum grau de “geekness” e que tenho uma utilização tecnológica acima da média, mas só há pouco tempo tomei consciência que tenho uma utilização quase totalmente password less no meu iPhone.
Senão vejamos: desbloqueio o telefone, faço pagamentos nas superfícies comerciais (MBway ou ApplePay), faço as mais diversas operações bancárias, acedo ao meu e-mail e ficheiros da organização, acedo ao NIODO Desktop e até os diversos websites que requerem password são preenchidos automaticamente, tudo isto requisitando apenas que olhe (algo que eu sou) para o meu telefone (algo que eu tenho). Por vezes quando a minha cara não é reconhecida, é-me pedido um PIN, este PIN não é a minha real password mas apenas um código definido especificamente para a respetiva app neste aparelho.
O resultado, é uma simplicidade na utilização dos serviços e uma segurança sem paridade com os sistemas tradicionais. O curioso é que já nem me lembro da maior parte das passwords incluindo as do home banking e inclusive deixei de utilizar este género de aplicações no PC.
A nível empresarial estamos atrasados sim, mas a tecnologia existe, por exemplo, para quem utiliza tecnologias Microsoft, o Azure AD permite password less para autenticação nos serviços Cloud, incluindo o Office 365.
Estas tecnologias, podem ser alargadas aos desktops corporativos dos utilizadores com o Windows Hello for Business, disponível no Windows 10. No entanto, o caminho para a erradicação total da password nas organizações será longo pois será necessário o apoio dos fabricantes dos diversos softwares que utilizamos na organização.
