O que é a autenticação sem senha e qual é a sua importância?

FIDO2, WebAuthn… Termos como esses são cada vez mais comuns, e é bem provável que você já tenha se deparado com eles até mesmo enquanto lia reportagens do Canaltech. Embora sejam difíceis, tais palavras estão ligadas de forma íntima a um conceito bem mais amplo e que promete revolucionar a segurança de nossos dados em um futuro breve, melhorando o processo de verificação de identidades — a autenticação sem senha, também conhecida como autenticação passwordless (do original em inglês).

• Como diagnosticar se seu dispositivo móvel está infectado com malware
• Confira 10 dicas para manter o seu smartphone seguro e longe de problemas
• Como saber se meus dados vazaram do Facebook?

Antes de mais nada, é preciso retomar alguns conceitos básicos de segurança. A autenticação (ou seja, o ato de provar que a identidade de um indivíduo é real) sempre se baseou em três pilares: algo que você sabe (conhecimento), algo que você possui (propriedade) e algo que você é (característica). Com a popularização da microcomputação e de sistemas informáticos, para facilitar a vida dos usuários, calhou-se de usarmos o método mais simples dos três supracitados.

Algo que você sabe são as nossas tradicionais senhas (ou as credenciais, que é a combinação de um login, como um endereço de e-mail, e a senha). O problema é que essa autenticação de fator único está se provando ineficaz, já que somos bombardeados com notícias de vazamentos de dados — incluindo de passwords. Além disso, os internautas têm o péssimo hábito de usar credenciais fracas e repeti-las em vários serviços online que eles venham a utilizar, facilitando a ação de criminosos cibernéticos.

Surgiu, então, a autenticação dupla ou de dois fatores, que adiciona a camada “algo que você tem”. Se necessário, o site, para verificar sua identidade, enviaria um código SMS para o seu celular (uma linha telefônica é única e de sua propriedade, afinal) que precisa ser informado para garantir a autenticidade do usuário. Ainda assim, o mercado não ficou satisfeito com os resultados dessa abordagem, pois também é possível interceptar, falsificar e inutilizar a autenticação de duas etapas.

Presente em nossas vidas

E é daí que surge a ideia da autenticação sem senhas — um método de comprovação de identidade que dispensa os dois fatores citados e foca no terceiro, que é o mais difícil de fraudar. Quando falamos sobre “algo que você é”, estamos nos referindo, basicamente, a características biométricas, e isso inclui reconhecimento facial ou sensores de impressão digital — atualmente, a maioria dos notebooks e smartphones são capazes de trabalhar com tais métodos de verificação de identidade.

Se você desbloqueia seu iPhone através do Face ID ou o seu computador usando o Windows Hello, você já utiliza a autenticação sem senhas e nem sequer percebeu. O que o mercado deseja é levar essa praticidade para outros departamentos — idealmente, no futuro, não precisaremos mais digitar senhas para entrar no Facebook, no Twitter ou em serviços online digitais do Governo Federal. Para facilitar o desenvolvimento dessas tecnologias e impulsionar sua adoção, foram criados diversos padrões distintos.

Senha no chaveiro?

Um deles é o FIDO2, desenvolvido pela FIDO Alliance, um consórcio de empresas formado por grandes nomes como Lenovo, PayPal, Alibaba, Amazon, NTT DoCoMo, Qualcomm, RSA, Samsung, Visa, Apple e até Google. Embora seus padrões sejam compatíveis com uma série de fatores de autenticação (incluindo a já citada biometria), o FIDO2 ficou conhecido sobretudo pelo uso em tokens físicos de segurança. Uma fabricante expoente de tokens FIDO2 é a Yubico, que possui a famosa linha YubiKey.

O funcionamento de uma YubiKey é muito simples. Do tamanho de um pendrive (o que facilita seu transporte como um chaveiro, por exemplo), o gadget possui uma chave criptográfica única que é configurada e atrelada à sua identidade; a partir desse momento, basta inseri-la em seu computador para que o padrão FIDO2 se encarregue de fazer a comunicação entre tal chave e o servidor de destino. Para smartphones, há modelos de YubiKeys com USB-C e até NFC (aproximação).

Diversas plataformas, incluindo o Twitter, já são compatíveis com YubiKeys. Além da Yubico, o próprio Google já lançou o Titan, seu próprio token criptográfico físico; outros modelos podem ser encontrados facilmente no mercado paralelo brasileiro.

Passos curtos, mas firmes

Já o WebAuthn é um padrão aberto desenvolvido pela FIDO Alliance em parceria com o World Wide Web Consortium (W3C) para ser o protocolo diretriz para autenticação sem senha para aplicações web. Hoje em dia, os principais navegadores disponíveis no mercado — Chrome, Firefox, Edge e Safari — já possuem suporte para tal tecnologia. Além de aceitar chaves criptográficas FIDO2, o WebAuthn também trabalha com reconhecimento biométrico e pode até mesmo “reaproveitar” sensores já presentes em seu smartphone.

Juntos, esses protocolos prometem, em poucos anos, eliminar completamente a necessidade de digitar senhas. Naturalmente, as vantagens dessa tecnologia são atraentes ao usuário final, que garante maior segurança para as suas contas online; porém, ela também é atraente para o mundo corporativo, já que os gestores de segurança da informação podem dormir tranquilos sabendo que seus colaboradores não estarão expostos por senhas fracas.

Ainda há muito o que se trabalhar — smartphones mais baratos não possuem sensores biométricos e chaves criptográficas, o que torna a novidade inacessível para quem não possui condições financeiras para tal. Porém, o cenário é otimista, e a autenticação sem senha pode ser um padrão para todos dentro de, no máximo, cinco anos.