Engenheiros da empresa têm feito experiências com hardware que agiria como uma chave mestra para serviços online
Para ajudar a Internet a superar nomes de usuários e senhas, o Google quer mudar a abordagem atual. Engenheiros da empresa têm feito experiências com hardware que agiria como chave-mestra para serviços online. Exemplos incluem um anel inteligente, um stick USB criptografado ou um token embutido em smartphones. O vice-presidente de segurança, Eric Grosse, e o engenheiro Mayank Upadhyay, delinearam a proposta em um trabalho de pesquisa para a edição deste mês da EEE Security & Privacy Magazine, de acordo com uma reportagem do Wired.
A ideia é evitar que hackers remotos acessem contas online através de nomes de usuários e senhas roubados. Sem roubar fisicamente o dispositivo de login, eles não têm outra maneira de invadir. Alguns serviços da Internet já oferecem este tipo de segurança por meio de autenticação de duas etapas. Por exemplo, quando você entra no Gmail em um PC não reconhecido, pode ser que o Google envie uma mensagem de texto para seu celular com um código de validação. Uma vez que você digita o código, o Gmail pode lembrar aquele PC por tempo determinado.
O problema com autenticação de duas etapas é que é complicado validar todos os seus computadores e passar pelo processo apenas para verificar seu e-mail no computador de um amigo. Tentar entrar quando seu telefone está fora de serviço também pode ser um problema, embora o Google forneça até 10 códigos de segurança para esse tipo de situação.
Um dispositivo físico – de preferência que possa se comunicar sem fios com computadores – tornaria o processo mais fácil. “Nós gostaríamos que seu smartphone ou smartcard com anel de dedo embutido autorizasse um novo computador com apenas um toque na máquina, mesmo em situações em que seu telefone possa estar sem conectividade celular,” escreveram engenheiros do Google.
Desafios
Obviamente, contar com um anel ou outro dispositivo para fazer login traz seus próprios desafios. Teria que ser um método de login com backup – um que seja mais seguro do que apenas uma senha – caso o dispositivo seja perdido ou danificado. E, enquanto um anel ou um dispositivo de contato baseado em outro iria ajudar a proteger usuários de hackers distantes, seria mais fácil de ser roubado por cônjuges, colegas de trabalho ou crianças. Engenheiros do Google admitem que ainda podem precisar exigir senhas, mas estas não teriam de ser tão complexas como hoje, com fórmulas à prova de hacker. Além disso, nem todo mundo vai querer usar um anel ou levar seus celulares para todos os lugares só para poder usar seus computadores.
Os desenvolvedores web terão que embarcar nesta ideia também, ou pelo menos ‘abraçar’ serviços como o Account Chooser, o que permitiria que serviços maiores, como Facebook ou Google, agissem como um login mestre para sites menores. Caso contrário, teremos de lembrar um monte de senhas para sites que não usam autenticação via hardware.
O Google não é a única gigante de tecnologia que está interessada em substituir a senha. No ano passado, a Apple comprou a AuthenTec, empresa de scanner de impressões digitais, levando a rumores de que futuros iPhones poderão ter sensores de impressões digitais construídos em seus botões home.
A ideia de acabar com a senha se tornou uma noção popular no ano passado, depois que um hacker esperto conseguiu acabar com a vida digital do repórter Mat Honan, do Wired. Em certo sentido era um alerta, mas, levando em consideração quantas vezes grandes sites são hackeados, a melhor solução parece agora muito atrasada. Soluções de hardware dos grandes jogadores de tecnologia do mundo poderiam ser exatamente o que precisamos.
A ideia é evitar que hackers remotos acessem contas online através de nomes de usuários e senhas roubados. Sem roubar fisicamente o dispositivo de login, eles não têm outra maneira de invadir. Alguns serviços da Internet já oferecem este tipo de segurança por meio de autenticação de duas etapas. Por exemplo, quando você entra no Gmail em um PC não reconhecido, pode ser que o Google envie uma mensagem de texto para seu celular com um código de validação. Uma vez que você digita o código, o Gmail pode lembrar aquele PC por tempo determinado.
O problema com autenticação de duas etapas é que é complicado validar todos os seus computadores e passar pelo processo apenas para verificar seu e-mail no computador de um amigo. Tentar entrar quando seu telefone está fora de serviço também pode ser um problema, embora o Google forneça até 10 códigos de segurança para esse tipo de situação.
Um dispositivo físico – de preferência que possa se comunicar sem fios com computadores – tornaria o processo mais fácil. “Nós gostaríamos que seu smartphone ou smartcard com anel de dedo embutido autorizasse um novo computador com apenas um toque na máquina, mesmo em situações em que seu telefone possa estar sem conectividade celular,” escreveram engenheiros do Google.
Desafios
Obviamente, contar com um anel ou outro dispositivo para fazer login traz seus próprios desafios. Teria que ser um método de login com backup – um que seja mais seguro do que apenas uma senha – caso o dispositivo seja perdido ou danificado. E, enquanto um anel ou um dispositivo de contato baseado em outro iria ajudar a proteger usuários de hackers distantes, seria mais fácil de ser roubado por cônjuges, colegas de trabalho ou crianças. Engenheiros do Google admitem que ainda podem precisar exigir senhas, mas estas não teriam de ser tão complexas como hoje, com fórmulas à prova de hacker. Além disso, nem todo mundo vai querer usar um anel ou levar seus celulares para todos os lugares só para poder usar seus computadores.
Os desenvolvedores web terão que embarcar nesta ideia também, ou pelo menos ‘abraçar’ serviços como o Account Chooser, o que permitiria que serviços maiores, como Facebook ou Google, agissem como um login mestre para sites menores. Caso contrário, teremos de lembrar um monte de senhas para sites que não usam autenticação via hardware.
O Google não é a única gigante de tecnologia que está interessada em substituir a senha. No ano passado, a Apple comprou a AuthenTec, empresa de scanner de impressões digitais, levando a rumores de que futuros iPhones poderão ter sensores de impressões digitais construídos em seus botões home.
A ideia de acabar com a senha se tornou uma noção popular no ano passado, depois que um hacker esperto conseguiu acabar com a vida digital do repórter Mat Honan, do Wired. Em certo sentido era um alerta, mas, levando em consideração quantas vezes grandes sites são hackeados, a melhor solução parece agora muito atrasada. Soluções de hardware dos grandes jogadores de tecnologia do mundo poderiam ser exatamente o que precisamos.
Fonte: IDGNOW!
Leia Também: Autenticação no e-Commerce com Certificados Digitais.
O que você pode oferecer à 5 milhões de clientes especiais no mundo eletrônico?
Resposta: Autenticação forte com certificados digitais.
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.