A velha senha decorada se esgotou
(O uso de ambientes confiáveis vai reduzir ao mínimo o uso de senhas e tornar a segurança independente da capacidade de memorização dos indivíduos)
Por André Facciolli, Diretor da Netbr
A ideia de substituir o sistema de autenticação da identidade digital baseado na combinação de nome de usuário e senha decorada começa a deixar de ser uma possibilidade teórica.
Há anos já ouvimos falar da inocuidade do modelo de senhas fáceis de decorar – uma preferência incorrigível dos usuários – e virou um lugar comum a publicação na mídia das senhas mais tolas e convidativas à ação dos hackers: tais como “password1”, “maria2020” ou, simplesmente, “123456”.
A fim de contornar o problema, as aplicações de segurança passaram a exigir senhas mais complexas, com a introdução obrigatória de símbolos, capitulares, caracteres especiais e um número maior de teclas. Algo completamente fora das possibilidades de memorização por parte do usuário.
Outra exigência crescente foi a de redefinição de senhas pelas aplicações específicas após um período sem uso. Um sistema que aumenta a segurança, mas que também cria um nível de atrito insuportável para o usuário que não tem paciência para aguardar email ou SMS para a criação de uma senha nova a ser igualmente esquecida.
Uma pesquisa da Mastercard mostra que, anualmente, os usuários chegam a criar 80 senhas, as quais são imediatamente esquecidas após pouco tempo de uso.
A mesma pesquisa aponta que o esquecimento de senhas responde por 33% dos carrinhos de compra abandonados em sites de e-commerce já no processo de checkout. E que 18% dos abandonos de carrinho se devem à irritante exigência de se redefinir a senha por meio de mensagens ao celular ou email.
Afora a ineficiência, a exigência de senhas rigorosas nem sempre conviveu nas empresas com um correto gerenciamento do acervo de credenciais. De modo que que senhas órfãs, após o desligamento de usuários, e mesmo aquelas esquecidas ou criadas para uso efêmero, permanecem no ambiente e servindo de gancho para o invasor externo ou para o abuso por dentro da rede.
As cinco camadas de acesso
- A autenticação de identidades digitais pode acontecer em cinco camadas da infraestrutura:
- No nível perimetral, que compreende a ligação da rede interna com a internet pública;
- No nível da rede particular;
- No nível do end-point, podendo este ser um computador de mesa, um smartphone ou qualquer dispositivo conectado;
- No nível da aplicaçãoç
- No nível dos dados armazenados.
O mapeamento correto e a articulação de fatores de verificação de segurança nas camadas viabilizam mitigar a exigência de várias senhas diferentes ao longo de uma jornada e evitam a necessidade de constante redefinição destas, em função das amplas possibilidades de combinação de elementos.
No início da Internet, cada vez que um usuário necessitava entrar na rede era comum que precisasse de uma senha para se conectar ao próprio provedor. Uma necessidade hoje suplantada por métodos multicamadas, como o reconhecimento automático das credenciais do dispositivo, seu local, suas configurações de sistema e uma senha de cadastro digitada uma única vez na fase de inscrição.
Esse modelo de conexão sem a senha recorrente em cada evento tornou-se também comum no nível de acesso à rede interna e ao terminal de end-point, igualmente em função do elemento em camadas.
A Segurança e o Fator
Nota-se pelo exposto que a questão não é necessariamente abandonar 100% as senhas, mas limitar o seu uso a uma fase específica (por exemplo, no cadastro junto ao provedor ou à rede) e deixar que um sistema inteligente de gerenciamento de identidade e acesso (IAM) faça o trabalho de correlacionar esta senha com os vários elementos envolvidos na credencial acessante.
Numa autenticação multifator, o sistema de segurança de acesso instalado em cada uma das camadas irá verificar as premissas do usuário de acordo com três propriedades convencionais:
- O que você sabe? que é a verificação relacionada ao componente nome de acesso/senha e que, em sistemas mais rigorosos, pode vir acompanhado de inquirições atreladas a informações pré-anotadas no cadastro de usuário, do tipo qual o seu ano de nascimento ou quais as iniciais do seu nome completo?
- O que você tem? que é a verificação de um item físico, tal como um cartão magnético, um token, um certificado local, um fingerprint, uma impressão de código QR ou um celular identificado pelo número universal de hardware (IMEI).
- O que ou quem você é? Por exemplo, uma resposta ao captcha (“não sou um robô), uma selfie capturada a qualquer tempo ou mesmo seguida de uma ordem online, como piscar o olho esquerdo ou sorrir para a câmera.
- O que você faz? Nos sistemas mais avançados de IAM, este quarto elemento verifica aspectos como o histórico e hábitos de acesso de uma identidade nas várias camadas do sistema.
A partir desse tipo de arranjo começam a surgir novas propostas de arquitetura de segurança, com a extensão da credencial de uma aplicação-mãe para inúmeras outras, dispensando a digitação ou redefinição de senhas na troca de sites ou aplicações.
Um exemplo disto são as aplicações “passwordless” criadas por âncoras digitais como o Google. No Google, uma única inscrição habilita o usuário a usar os vários serviços de e-mail, entretenimento, mensagens e outras ferramentas com a facilidade do login automático.
Outros provedores como Ping, Forgerock, Okta e Beyond Identity usam o mesmo conceito, cada um com sua arquitetura, usando device trust, certificados locais, blockchain e outras arquiteturas aplicadas ao caso de uso passwordless.
No âmbito empresarial, o uso de Federação vai se tornando um acionador cada vez mais presente na automação de acesso seguro com os mais baixos níveis de atrito já encontrados no mercado. Este modelo consiste no credenciamento único compartilhado por aplicações e serviços de um ou mais fornecedores.
Em sites de conteúdos não crítico, como veículos de conteúdo pago ou cursos pela internet, o simples ingresso no sistema através do de um provedor de identidade (IdP) já é suficiente para a conexão.
Em qualquer um desses arranjos, porém, o gerenciamento de credenciais deve suplantar o descontrole do acerto de perfis de identidade e senha, de modo a se obter controle efetivo sobre o acervo dessas entidades.
Além de recensear, organizar, classificar e posicionar hierarquicamente cada credencial nas diferentes camadas do acesso, o sistema precisa contar com regras de descredenciamento automático, bem como de atualização permanente dos atributos de identidades que interferem na concessão ou negação de acessos, normalmente apoiados por sistemas de administração de identidade (IGA).
Por último, mas não menos importante, é imprescindível a correlação das metodologias de IAM com as políticas de acesso orientadas por premissas de eficiência de negócio com grande ênfase para o equilíbrio entre segurança e otimização da experiência do cliente (consumidor ou usuário).
Aí entram também as exigências de compliance, com a imposição de trilhas de auditoria em todo o ciclo de acesso e a disponibilização de uma estratégia de governança dotada de relatórios, dashboards e inteligência analítica para a evolução constante da arquitetura de segurança.