Menu

O desafio das senhas de acesso a sistemas e aplicações

  • Escrito por Fabian Martins da Silva*

Em setembro do ano passado, a notícia sobre o vazamento de quase 5 milhões de endereços de e-mail do Gmail, acompanhados das respectivas senhas - que foram divulgados em um fórum de segurança russo -, ganhou destaque na imprensa internacional e causou preocupação entre os usuários desse serviço da Google.

Ao comentar o assunto, em uma nota publicada em seu blog, a equipe de segurança da empresa garantiu que não houve violação em seu sistema e justificou que o vazamento foi consequência de outros fatores, como a utilização do mesmo nome de usuário e senha em sites diferentes. Entre as recomendações de segurança feitas pela empresa, duas merecem destaque:

  • Utilize uma senha forte e exclusiva para cada conta, ou serviço
  • Adote a verificação em dois passos, que adiciona mais uma camada de proteção à conta

 

Mas, o que é uma senha forte? E como adicionar mecanismos extras de proteção no acesso à conta?

A questão da força das senhas no controle de acesso vem sendo tratada com bastante preocupação e interesse neste momento em que o uso da internet cresce em ritmo extremamente acelerado. Vários estudos mostram que, ao definir suas senhas, as pessoas geralmente adotam um certo comportamento padrão. Eles revelam que, apesar da disponibilidade de cerca de 118 caracteres - que possibilitam 2,6 trilhões de combinações diferentes - para a geração de uma senha forte de seis caracteres, a grande maioria dos usuários constrói suas senhas utilizando apenas caracteres alfabéticos ou numéricos, sem alternar letras maiúsculas e minúsculas, números e letras, e sem incluir caracteres especiais (como $, % e &, por exemplo). Além disso, utilizam sequências conhecidas e facilmente identificadas por meio de engenharia social - como seu próprio nome, time preferido ou outra sequência de fácil memorização.

A facilidade de memorização parece ser um item fundamental na escolha das senhas, especialmente quando o usuário precisa guardar na memória as credenciais para uma quantidade de sistemas superior a seis. O problema é que senhas simples de lembrar são também fáceis de quebrar - o que muitas vezes ocorre rapidamente. E o que é pior: como a grande maioria das pessoas utiliza a mesma senha em todos os sistemas, quando se encontra a senha de acesso a um sistema, descobre-se a de todos os outros. Isso significa que, uma vez capturada, essa senha fragilizará o acesso a todos os serviços e sistemas de uma empresa.

Aí entra a importância de se adotar fatores adicionais de autenticação, que representam um incremento importantíssimo na segurança de acesso aos sistemas.

Atualmente, existem três tipos de fatores de acesso disponíveis:

  • Algo que, em princípio, só você sabe - o que corresponde às credenciais de usuário e senha;
  • Algo que, em princípio, só você tem - caso de um dispositivo de posse do usuário;
  • Algo que, em princípio, só você é - identificação biométrica, a partir do reconhecimento de alguma característica física do usuário (digital, face, íris, voz, etc.)

 A combinação de dois ou mais desses elementos cria um controle de acesso com dois, três ou múltiplos fatores de autenticação, em diferentes combinações. Um bom fator adicional de autenticação é aquele que é difícil de ser capturado sem a autorização do portador e difícil de ser replicado.

É comum as pessoas pensarem que a biometria é o fator adicional mais seguro. No entanto, possivelmente, esse é o fator mais frágil de todos. Se um hacker descobrir sua senha e você detectar uma invasão em um de seus sistemas, em geral (grosseiramente falando), é só mudar a senha para tirar a vantagem do intruso - que terá de trabalhar para descobrir a nova senha. Mas, se o hacker conseguir capturar sua assinatura biométrica, o que você poderá fazer? Mudar a palma da mão ou a íris dos olhos? Impossível! Por isso, o uso de autenticação biométrica é recomendável apenas em ambientes controlados, em que nem os administradores dos sistemas tenham acesso aos dados biométricos dos usuários – que não é o caso do seu computador pessoal, por exemplo.

A opção com melhor relação custo-benefício para um fator adicional de segurança é um dispositivo que só você tem. Nesse universo, existem várias alternativas disponíveis: de cartões de combinações a dispositivos que geram códigos variantes no tempo e exigem algum tipo de senha, ou até mesmo biometria, para serem ativados. Esses dispositivos, em geral, possuem relógios sincronizados com o relógio de um servidor central, de modo que o código gerado por meio de algumas funções criptográficas pode ser validado pelo servidor, usando o instante e a identificação do dispositivo como referências.

Como exemplo, vamos supor que o usuário tenha em mãos um dispositivo que gera um código numérico único de 6 dígitos, que muda a cada 40 segundos. Nesses 40 segundos, é possível gerar um milhão de números - o que praticamente inviabiliza um ataque prático. Ainda assim, para aumentar ainda mais a segurança e dificultar as tentativas automáticas de descoberta de senha, os sistemas podem implementar em seu controle de acesso ferramentas de detecção de automação, tais como o CAPTCHA, ou estratégias como o bloqueio de conta após um determinado número de tentativas malsucedidas.

É nesse cenário que surge o Unipass, desenvolvido pela Scopus. Trata-se de uma solução inovadora que utiliza dispositivos móveis para gerar frases variantes no tempo, utilizadas para realizar simultaneamente a identificação e a autenticação do usuário, com altíssimo nível de privacidade. Os códigos gerados substituem, com diversas vantagens, as credenciais tradicionais (usuário e senha) e mecanismos de autenticação, como o cartão de senhas e tokens físico.

E como o Unipass é diferente?

O Unipass implementa controle de acesso com dois fatores - algo que você sabe (a senha de acesso ao aplicativo, que é instalado no dispositivo móvel) e algo que você tem (o dispositivo móvel) – e gera códigos de acesso variantes no tempo. Isso um token tradicional oferece. A novidade do Unipass é que, com o código gerado, o usuário pode, ao mesmo tempo, identificar-se e autenticar-se em um sistema, sem precisar inserir informações estáticas de qualquer natureza. Nada de colocar e-mail, CPF ou senhas que podem ser usadas em outros sistemas – como e-mail ou Facebook, por exemplo. Com ele, nenhuma informação sensível do usuário é exposta - o que pode facilitar sua captura para a realização de fraudes. Além disso, todo sistema que utilizar o Unipass precisa implementar pelo menos uma função de CAPTCHA, que detecta ataques de “força bruta” (por meio de programas criados para adivinhar a frase variante no tempo) e faz um bloqueio da tentativa.

Outra inovação introduzida com o Unipass é a possibilidade de configurar o aplicativo para gerar códigos para diversos domínios habilitados, como websites (especialmente de comércio eletrônico), provedores de serviços e sistemas corporativos, entre outros. Assim, não é necessário ter um dispositivo, ou um aplicativo, para cada ambiente. Veja: um dispositivo, diversas credenciais dinâmicas para vários sistemas e apenas uma senha para memorizar (a do aplicativo). É o fim das credenciais estáticas. O fim das senhas.

Com o Unipass, qualquer empresa pode implementar rapidamente um modelo de autenticação de dois fatores, com baixíssimo esforço de alteração nos sistemas existentes. E, além de praticamente eliminar a possibilidade de fraudes em transações críticas, ainda evita a exposição de dados sensíveis de seus clientes - garantindo a sua privacidade e a segurança dos sistemas.

Fabian Martins da Silva é Gerente de Produtos da Scopus Soluções em TI, responsável pelo Unipass®.

Finanças

TI

Canais

Executivos Financeiros

EF nas Redes