Jeremy Grant |
“Estamos tentando nos livrar das senhas. É hora de algo melhor”.
A declaração é de Jeremy Grant, conselheiro Executivo Sênior do Escritório Nacional de Programa dos Estados Unidos, da Estratégia Nacional para Identidades Confiáveis no Ciberespaço (NSTIC, na sigla em inglês), um programa da administração Obama para melhorar os métodos utilizados em autenticações online. Para ele, o governo norte-americano pode conduzir a indústria para novas tecnologias em larga escala. Mas, no Brasil, isso é uma iniciativa basicamente privada.
André Carraretto |
Afinal, oferecer autenticações fortes para empresas é uma necessidade real no ambiente competitivo no qual o País se encontra em relação ao cenário internacional. Segundo André Carraretto, gerente de Engenharia de Sistemas da Symantec, há um interesse crescente nesses tipos de soluções, ainda mais com as tecnologias de computação na nuvem. “A preocupação das empresas de levar as informações e sistemas para o Cloud é garantir proteção ao acesso às informações”, diz.
Faz sentido, já que a tecnologia trata justamente do armazenamento de dados e processos remotamente. Para ter acesso a isso sem a possibilidade de haver interceptações ou falsidade ideológica, um método de autenticação forte é extremamente necessário. Com senha compartilhada dentro de empresas, a chance de se escancarar a vulnerabilidade fica ainda maior. “Você perde a capacidade de fazer o rastreamento. É difícil saber quem daquele grupo está fazendo isso”, afirma Carraretto.
Para ingressar com maior força no mercado de autenticação, a Symantec comprou em maio do ano passado por US$ 1,28 bilhão a VeriSign, empresa com atuação em 160 países e mais de 175 milhões de impressões diárias. O negócio incluiu as divisões Secure Sockets Layer, Public Key Infrastructure (PKI), VeriSign Trust Services e o serviço VeriSign Identity Protection (VIP), este último com validação de chave baseado na nuvem.
Sem esse tipo de tecnologia, se o usuário estiver utilizando uma rede pública e a máquina está infectada, o invasor consegue ter acesso às informações. “Se ele estiver utilizando uma solução de autenticação forte, o hacker teria de capturar tudo, inclusive o token, mas não daria tempo de utilizá-lo porque, uma vez usado, ele perde a validade. As informações capturadas são insuficientes para acesso, então há a proteção”, diz o executivo.
Mobilidade
Apesar do promissor mercado, a própria empresa de segurança afirma que os ciberataques cresceram 93% por dia no último ano. Nesta corrida, por outro lado, o número de credenciais VIP chegou a 5,5 milhões, sendo 3,5 milhões em plataformas móveis. “Em vez de carregar vários tokens físicos, é possível ter um rodando no celular, já que você está sempre carregando o aparelho”, diz Carraretto. O aplicativo, que é gratuito, também pode ser utilizado para autenticação em sites de forma opcional para adicionar uma camada a mais de proteção, como no site de pagamentos virtuais PayPal ou no de leilões e classificados eBay.
É preciso, no entanto, deixar claro que existe uma diferença entre a versão móvel e a física do mecanismo. “O token no celular não deixa de ser um software. Neste caso, mesmo que utilizemos as melhores técnicas de anticlonagem e ofuscation das sementes, na comparação a um token hardware, o software acaba sendo, de alguma forma, menos seguro. O token hardware está completamente isolado do mundo, numa caixinha inviolável e sem nenhum tipo de comunicação”, esclarece o gerente de Engenharia de Sistemas da Symantec.
Isso não impede que 65% dos usuários de tokens tenham migrado para o celular, segundo informações da empresa. “Qualquer solução de proteção (autenticação) considera a balança Segurança X Comodidade. E o mesmo acontece na comparação Token X Celular”, diz. Ou seja, o risco existe, mas não deve ser levado ao nível de paranoia. “O mais importante é estar com uma autenticação forte. E tem questões de segurança do próprio celular que podem ajudar”, ameniza, citando exemplos de aplicativos de proteção em caso de extravio. “A tendência é de haver cada vez mais necessidade de autenticação”.
Fonte: Risk REPORT
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.