Autenticação: O Perigo está nos seus Dados
Por Geraldo Bravo, Executivo de Vendas da CyberArk
O caso recente de fraude no aplicativo Caixa Tem, descoberta após uma operação da Polícia Federal no Rio de Janeiro, expôs falhas no processo de cadastro até então ignoradas.
Embora se saiba que a criação do App precisou pular uma série de etapas a fim de estar pronto para uso em tempo recorde, com o objetivo de atender os mais de 32 milhões de beneficiários do programa de auxílio emergencial, criado pelo governo em face da pandemia, ele não foi o principal responsável pelo roubo dos recursos.
Longe de ser um problema isolado de um único aplicativo, fato é que nenhuma engenharia eletrônica pode garantir uma segurança integral se o processo de cadastro e acesso do usuário não for o cerne da questão na hora do desenvolvimento.
Outro fato, fora do Brasil, mas igualmente repercutido, expôs o caso da rede britânica de hotéis Marriott, que foi condenada a pagar o equivalente a R$ 470 milhões de reais por conta do vazamento de dados de hóspedes. Tal informação acendeu um alerta para a importância de olhar para a proteção dos dados pessoais, sem que seja necessário descuidar da segurança técnica.
A LGPD (Lei Geral de Proteção de Dados) chegou agora no Brasil, mas a versão europeia, GDPR, já está em vigor desde 2018. E foi justamente por violar os termos dessa regulamentação que a Marriott recebeu a aplicação da multa.
Embora o fato deva servir de exemplo para que, aqui no Brasil, nenhuma empresa precise pagar a punição máxima prevista pela LGPD, de R$ 50 milhões, o que se espera, na verdade, é que a preocupação com os dados se torne parte de nossa cultura e não apenas de nossa legislação.
Sabe-se que é complexa a programação e preparação para que um aplicativo chegue até o usuário totalmente funcional, no entanto, a segurança não está atrelada ao nível de dificuldade, tanto de uso quanto de desenvolvimento. Ela precisa ser pensada no acesso do cliente ao serviço oferecido pela instituição.
Foi, aliás, uma falha nesse aspecto que rendeu ao hotel um rombo milionário no orçamento. Condicionar um acesso, principalmente a serviços críticos, por meio de um cadastro com nome, CPF, data de nascimento e senha não é mais suficiente para garantir que o usuário é, de fato, quem ele diz ser.
Os Três Passos da Autenticação
A premissa no campo da autenticação de acesso está ancorada em três pilares: Algo que você sabe, que você tem e que você é.
Esses três passos podem ser o divisor de águas entre um acesso e uma invasão. É imperativo que se busque a combinação desses fatores quando se trata de liberar credenciais a qualquer ambiente, seja ele acessado por uma pessoa física ou jurídica.
Para as empresas, e o que poderia ter evitado o desfecho da Marriott, já existem no mercado soluções capazes de controlar e restringir acessos a ambientes corporativos com base em avaliação de comportamento, identificação de IP, reconhecimento biométrico ou facial, mais de uma confirmação de acesso, ou, em termos mais simples, autenticação multifator. Ainda que um hacker tivesse a posse do e-mail e da senha, não seria capaz de transpor os demais obstáculos.
Senhas Randômicas
Por falar em senha, elas costumam ser apontadas como as vilãs da segurança, mas antes com elas do que sem elas.
Apesar de que ninguém discorda que decorar milhares de senhas para tantos serviços diferentes está fora de cogitação, quando precisamos de tudo para ontem, existem recursos, inclusive gratuitos, que podem auxiliar até os mais leigos a salvaguardarem suas informações pessoais.
Aplicativos de senhas randômicas, que geram chaves aleatórias para cada acesso, são um exemplo. Outros, que guardam seus passwords em local seguro, podem ser uma escolha.
Fato é que em um mundo dominado pelo mobile, informação vale dinheiro, ou pelo menos, evita perdê-lo.
Procurar avaliações antes de baixar aplicativos, mesmo das lojas oficiais, não fornecer senhas ou outros dados pessoais por e-mail e aplicativos de mensagens, além de jamais clicar em links sem antes confirmar a identidade do remetente, parecem clichê, mas ainda são as maneiras mais baratas e simples de impedir que sua empresa ou seu funcionário sejam mais uma vítima da cada vez mais inteligente engenharia hacker.