A autenticação baseada em Push mudou a forma com que vemos o MFA. Você ainda digitará seu nome de usuário e senha, mas com o MFA ativado em um aplicativo.
Por Alexandre Cagnoni
No dia 29 de março, eu estava usando o MyFitnessPal da Under Armour para ajudar no planejamento das minhas refeições, quando recebo uma mensagem deque minha conta havia sido comprometida.
Meu nome de usuário, e-mail e senha, juntamente com 150 milhões de outros usuários infelizes, foram roubados. Bem, não a senha em si, mas sim sua versão em hash. Mas ainda assim, dependendo da complexidade da senha, a versão com hash pode ser facilmente quebrada por qualquer hacker iniciante.
Claro que, não estava disposto a correr riscos e acabei mudando a minha senha. Isso é suficiente? Não! Se você é como eu – apenas um mero mortal que não consegue se lembrar de dezenas de combinações diferentes de nome de usuário e senha para os inúmeros sites e serviços on-line – você reutiliza suas credenciais com frequência. Este é um problema muito maior.
O crescimento do número de serviços, contas online e lugares onde você tem que registrar uma conta tornou virtualmente impossível criar e lembrar nomes de usuários e senhas únicas, por isso, é bastante comum as pessoas repetirem a mesma senha – às vezes com uma pequena variante, como um dígito – em várias contas. E alguns sites solicitarão que você altere sua senha periodicamente, e eles se lembrarão das últimas senhas, para que você não possa usá-las novamente.
Senhas Dinâmicas e Desgaste do Usuário
Para ajudar a resolver esses problemas, vários métodos de autenticação multifator (MFA) estão agora disponíveis. A autenticação MFA usa mais do que um nome de usuário e senha padrão para verificar se você realmente está fazendo login. Em vez de alterar sua senha a cada 30 ou 60 dias, por que não ter algo que cria uma nova senha a cada autenticação? Tokens do tipo hardware que alteram a senha a cada 30 segundos, senhas baseadas em SMS, perguntas e respostas, tudo isso pode adicionar uma camada de verificação além de uma senha simples. No entanto, essa segurança adicional pode criar complexidade adicional que gera desgaste no usuário.
Agora você tem que carregar um ou mais keyfobs para todo lugar que vai. Ou confiar em SMS, sabendo que isso não funciona tão bem em qualquer lugar do mundo, e nem estou falando sobre vulnerabilidades. Ou perguntas e respostas que podem ser facilmente adivinhadas ou recuperadas usando engenharia social. De qualquer forma, você está adicionando algo que nem todo mundo vai gostar ou usar.
Certa vez, eu participei de um evento com executivos de nível C, de companhias de varejo e eCommerce da América Latina, e um deles disse algo que eu nunca esquecerei sobre manter uma boa experiência de usuário. Ele me disse: “Quer saber? Eu tenho certeza de que você está certo, MFA reduziria drasticamente a fraude de comércio eletrônico. Mas ao mesmo tempo, se eu adicionar algo que será chato para o cliente, eles comprarão seus produtos em outro lugar”. É vital aprimorar simultaneamente a segurança e a experiência do usuário.
Tecnologia Push – derrubando antigos paradigmas do MFA
A era do smartphone, com uma forte concentração no Android e no iOS, fez o trabalho para os desenvolvedores ficar mais simples. A tecnologia Push é comumente implementada por desenvolvedores para bate-papo, notícias e muitas outras notificações de aplicativos, então por que não usá-la para segurança?
A autenticação baseada em Push mudou a forma com que vemos o MFA. Você ainda digitará seu nome de usuário e senha, mas com o MFA ativado em um aplicativo, você também receberá uma solicitação de confirmação no seu telefone. Nada extra para carregar. Sem perguntas e respostas complicadas. Seu celular está sempre com você. Seu autenticador móvel exclusivo e pessoal está sempre com você. Está lá para protegê-lo, proteger suas contas, proteger seu acesso.
Então, o paradigma mudou. O MFA é facilitado com mensagens push, proporciona uma ótima experiência ao usuário, evita o ônus de alterar sua senha de rede muitas vezes por ano; e oferece proteção extra para as suas credenciais.
Se você tiver o MFA habilitado – mesmo se estiver usando o mesmo nome de usuário e senha para o acesso VPN corporativo – ninguém poderá entrar. Se tentarem usar uma credencial roubada, você receberá uma notificação por push no seu computador. smartphone e pode rejeitá-la.
*Alexandre Cagnoni é diretor de autenticação da WatchGuard Technologies