O que é a autenticação sem senha e qual é a sua importância?

Por Ramon de Souza | Editado por Claudio Yuge | 24 de Maio de 2021 às 19h00
Canaltech/Pixabay

FIDO2, WebAuthn… Termos como esses são cada vez mais comuns, e é bem provável que você já tenha se deparado com eles até mesmo enquanto lia reportagens do Canaltech. Embora sejam difíceis, tais palavras estão ligadas de forma íntima a um conceito bem mais amplo e que promete revolucionar a segurança de nossos dados em um futuro breve, melhorando o processo de verificação de identidades — a autenticação sem senha, também conhecida como autenticação passwordless (do original em inglês).

Antes de mais nada, é preciso retomar alguns conceitos básicos de segurança. A autenticação (ou seja, o ato de provar que a identidade de um indivíduo é real) sempre se baseou em três pilares: algo que você sabe (conhecimento), algo que você possui (propriedade) e algo que você é (característica). Com a popularização da microcomputação e de sistemas informáticos, para facilitar a vida dos usuários, calhou-se de usarmos o método mais simples dos três supracitados.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Algo que você sabe são as nossas tradicionais senhas (ou as credenciais, que é a combinação de um login, como um endereço de e-mail, e a senha). O problema é que essa autenticação de fator único está se provando ineficaz, já que somos bombardeados com notícias de vazamentos de dados — incluindo de passwords. Além disso, os internautas têm o péssimo hábito de usar credenciais fracas e repeti-las em vários serviços online que eles venham a utilizar, facilitando a ação de criminosos cibernéticos.

Imagem: Reprodução/DC_Studio (Envato)

Surgiu, então, a autenticação dupla ou de dois fatores, que adiciona a camada “algo que você tem”. Se necessário, o site, para verificar sua identidade, enviaria um código SMS para o seu celular (uma linha telefônica é única e de sua propriedade, afinal) que precisa ser informado para garantir a autenticidade do usuário. Ainda assim, o mercado não ficou satisfeito com os resultados dessa abordagem, pois também é possível interceptar, falsificar e inutilizar a autenticação de duas etapas.

Presente em nossas vidas

E é daí que surge a ideia da autenticação sem senhas — um método de comprovação de identidade que dispensa os dois fatores citados e foca no terceiro, que é o mais difícil de fraudar. Quando falamos sobre “algo que você é”, estamos nos referindo, basicamente, a características biométricas, e isso inclui reconhecimento facial ou sensores de impressão digital — atualmente, a maioria dos notebooks e smartphones são capazes de trabalhar com tais métodos de verificação de identidade.

Imagem: Divulgação/Apple

Se você desbloqueia seu iPhone através do Face ID ou o seu computador usando o Windows Hello, você já utiliza a autenticação sem senhas e nem sequer percebeu. O que o mercado deseja é levar essa praticidade para outros departamentos — idealmente, no futuro, não precisaremos mais digitar senhas para entrar no Facebook, no Twitter ou em serviços online digitais do Governo Federal. Para facilitar o desenvolvimento dessas tecnologias e impulsionar sua adoção, foram criados diversos padrões distintos.

Senha no chaveiro?

Um deles é o FIDO2, desenvolvido pela FIDO Alliance, um consórcio de empresas formado por grandes nomes como Lenovo, PayPal, Alibaba, Amazon, NTT DoCoMo, Qualcomm, RSA, Samsung, Visa, Apple e até Google. Embora seus padrões sejam compatíveis com uma série de fatores de autenticação (incluindo a já citada biometria), o FIDO2 ficou conhecido sobretudo pelo uso em tokens físicos de segurança. Uma fabricante expoente de tokens FIDO2 é a Yubico, que possui a famosa linha YubiKey.

O funcionamento de uma YubiKey é muito simples. Do tamanho de um pendrive (o que facilita seu transporte como um chaveiro, por exemplo), o gadget possui uma chave criptográfica única que é configurada e atrelada à sua identidade; a partir desse momento, basta inseri-la em seu computador para que o padrão FIDO2 se encarregue de fazer a comunicação entre tal chave e o servidor de destino. Para smartphones, há modelos de YubiKeys com USB-C e até NFC (aproximação).

Imagem: Divulgação/Yubico

Diversas plataformas, incluindo o Twitter, já são compatíveis com YubiKeys. Além da Yubico, o próprio Google já lançou o Titan, seu próprio token criptográfico físico; outros modelos podem ser encontrados facilmente no mercado paralelo brasileiro.

Passos curtos, mas firmes

Já o WebAuthn é um padrão aberto desenvolvido pela FIDO Alliance em parceria com o World Wide Web Consortium (W3C) para ser o protocolo diretriz para autenticação sem senha para aplicações web. Hoje em dia, os principais navegadores disponíveis no mercado — Chrome, Firefox, Edge e Safari — já possuem suporte para tal tecnologia. Além de aceitar chaves criptográficas FIDO2, o WebAuthn também trabalha com reconhecimento biométrico e pode até mesmo “reaproveitar” sensores já presentes em seu smartphone.

Imagem: Reprodução/Termius

Juntos, esses protocolos prometem, em poucos anos, eliminar completamente a necessidade de digitar senhas. Naturalmente, as vantagens dessa tecnologia são atraentes ao usuário final, que garante maior segurança para as suas contas online; porém, ela também é atraente para o mundo corporativo, já que os gestores de segurança da informação podem dormir tranquilos sabendo que seus colaboradores não estarão expostos por senhas fracas.

Ainda há muito o que se trabalhar — smartphones mais baratos não possuem sensores biométricos e chaves criptográficas, o que torna a novidade inacessível para quem não possui condições financeiras para tal. Porém, o cenário é otimista, e a autenticação sem senha pode ser um padrão para todos dentro de, no máximo, cinco anos.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.