Passwordless: o futuro é a autenticação sem senhas?

Diversas alianças e iniciativas estão se esforçando para criar formas alternativas de realizar login em aplicações e websites sem o uso das clássicas senhas; tokens, OTPs e verificações biométricas são promessas para esse mercado.

Venhamos e convenhamos: ninguém gosta das senhas tradicionais. Afinal, elas não são nada práticas. Precisam ser complexas, memorizadas ou, então, armazenadas em um aplicativo específico para gerenciá-las. E, ainda assim, um criminoso cibernético pode usar uma variedade de ataques para roubá-las e obter acesso às suas contas.

Felizmente, tudo indica que estamos caminhando para um futuro passwordless, ou seja, que não dependerá de qualquer tipo de senha para que você se autentique em sistemas computadorizados e serviços digitais.

Diversas empresas e instituições de grande porte estão engajadas nessa missão, sendo que a mais proeminente delas é a FIDO Alliance, uma associação aberta que conta com membros como Google, Microsoft e outras gigantes da tecnologia.

Fundada em 2013, a FIDO Alliance, junto com seus associados, é responsável pelo desenvolvimento de padrões alternativos de autenticação e ficou famosa sobretudo pela criação do famosíssimo FIDO2.

Grosso modo, essa é uma tecnologia aplicada em tokens físicos que autenticam o usuário através de conexões físicas (como o USB) ou por aproximação (como o Bluetooth), reconhecendo uma chave criptográfica única presente em seu interior.

Plugou, logou

É importante citar, porém, que o padrão FIDO2 só foi criado graças a uma colaboração com o World Wide Web Consortium (W3C), que já havia criado seu próprio padrão de autenticação passwordless: o WebAuthn. Ele permite que os usuários acessem contas online sem precisar inserir uma senha, através de biometria, dispositivos móveis ou chaves FIDO, por exemplo.

O principal objetivo da criação do WebAuthn era universalizar a forma como a qual os navegadores se comportam em relação a tecnologias de autenticação sem senhas. Quando os navegadores estivessem prontos para esses novos padrões, qualquer site ou aplicação web poderia usufruir de tais funcionalidades com facilidade.

Hoje em dia, as principais redes sociais e serviços online que usamos em nosso cotidiano — incluindo Twitter, Facebook, produtos Google e afins — já possuem suporte aos padrões WebAuthn/FIDO2.

Não apenas na web

Mas engana-se quem pensa que a tendência passwordless se limita à autenticação em serviços online. Os próprios sistemas operacionais estão adotando essa moda há um bom tempo. Basta se lembrar que já faz anos que temos no mercado smartphones equipados com leitores de impressão digital ou de reconhecimento facial para possibilitar seu desbloqueio, dispensando os velhos PINs numéricos ou padrões de desenho. Aos poucos, os computadores também estão trilhando esse caminho.

Um ótimo exemplo disso é o Windows Hello, presente no sistema operacional Windows. Ele permite o login do usuário através de diversas formas de identificação biométrica, a depender das funcionalidades presentes na máquina em questão (um leitor biométrico, uma webcam, entre outros).

No fim das contas, temos grandes nomes da tecnologia dedicados a eliminar as senhas de uma vez por todas. E você? Também acredita que esse futuro passwordless será mais prático?

Produção: Equipe de Conteúdo da Perallis Security

Conteúdo relacionado: Hacker Rangers - Gamificação para conscientização em cibersegurança