A autenticação sem senha tem sido uma opção recomendada pelas equipes de TI. Isso se deve a fragilidade das senhas, que justifica as frequentes notícias sobre invasão de hackers e vazamento de dados.

Além disso, a recomendação para trocas periódicas de senhas pode estimular comportamentos inadequados por parte dos usuários. Afinal, grande parte das pessoas escolhe senhas fáceis de memorizar e, por consequência, de serem identificadas por agentes mal-intencionados.

E mais: os suportes de TI consideram os gastos com a utilização de senha, suporte e manutenção como um investimento alto, que já não traz uma boa relação custo/benefício.

Lendo este artigo, você entenderá tudo o que precisa saber sobre autenticação sem senha. Nosso texto traz as seguintes informações:

• O que é a autenticação sem senha e qual a sua importância?

• Como funciona a autenticação sem senha?

• Autenticação sem senha e o múltiplo fator de autenticação

• Quatro dicas para a implementação da autenticação sem senha

• A senha é um recurso de segurança que pode desaparecer?

• Contas da Microsoft podem ser acessadas sem senha

• Sobre a senhasegura

• Conclusão

Boa leitura!

• O que é a autenticação sem senha e qual a sua importância?

Como o próprio nome sugere, a autenticação sem senha é uma alternativa ao uso das senhas para autenticação de usuários por meio de tecnologias avançadas, como:

• Verificação biométrica: esse recurso oferece segurança de dados, na medida em que possibilita a autenticação a partir das características de uma pessoa, que consistem em dados únicos, como impressão digital ou verificação de reconhecimento facial.
• Criptografia de chave pública/privada: os sistemas de criptografia se apoiam no conceito de chaves. Enquanto o sistema de chaves privadas utiliza uma única chave para o emissor e receptor, o sistema de chaves públicas funciona por meio de um par de chaves. Nesse caso, não é possível criptografar e descriptografar uma mensagem utilizando a mesma chave. 

A autenticação sem senhas também é habilitada por padrões abertos, como W3C WebAuthn e Fast IDentity Online 2 (FIDO2) CTAP2.

Sua importância se deve ao fato de que as senhas ultimamente não têm sido seguras o suficiente para evitarem ameaças como ataques de hackers. Além disso, muitas vezes seus riscos ultrapassam os benefícios.

• Como funciona a autenticação sem senha?

É possível realizar a autenticação do usuário substituindo as senhas por meios mais seguros. Na autenticação com senha, a senha disponibilizada pelo usuário é comparada pelo sistema à informações presentes no banco de dados.

No caso da biometria, o processo é bem parecido, a diferença é que, no lugar das senhas, a comparação leva em conta as características das pessoas. Como ocorre, por exemplo, no reconhecimento facial: depois de capturar o rosto dos usuários, seus traços são traduzidos em dados numéricos, que podem ser comparados aos dados armazenados no sistema.

Por outro lado, algumas comparações funcionam de um modo diferente. É o caso dos SMSs enviados com códigos que devem ser inseridos na caixa de login. Na prática, o sistema compara os dados inseridos com o código que enviou ao usuário. 

A autenticação sem senha também é possível por meio de um par de chaves criptográficas com uma chave privada e uma pública. Na prática, a chave pública funciona como o cadeado, que pode ser aberto com o uso da chave privada.

Esta, é guardada em um dispositivo local, podendo ser acessada apenas com um fator de autenticação, que pode ser um fator de posse, como um token de hardware; biometria ou links mágicos.

No caso dos links mágicos, eles funcionam da seguinte maneira: você deve digitar seu endereço de e-mail, em seguida, recebe uma mensagem com um link para clicar e ter acesso ao sistema.

• Autenticação sem senha e o múltiplo fator de autenticação

A autenticação sem senhas relaciona-se ao múltiplo fator de autenticação na medida em que as senhas são substituídas por um ou mais fatores de identificação utilizados pelo MFA. 

Além disso, mesmo quem ainda prefere apostar na proteção de suas contas por meio de senhas deve considerar o acréscimo de mais fatores de identificação para garantir a segurança das credenciais. Esses recursos se dividem em:

• Fatores de conhecimento: como é o caso de um código SMS ou mesmo uma senha;
• Fatores de posse: os tokens, que mencionamos neste artigo são um bom exemplo; e
• Fatores de herança: como é o caso da impressão digital e do reconhecimento facial.

O múltiplo fator de autenticação pode ser confundido com o duplo fator de autenticação, que também é conhecido como autenticação de dois fatores (2FA). A diferença é que o primeiro utiliza fatores diferentes, unindo, por exemplo, um fator de conhecimento e um de herança. Já o segundo pode utilizar uma senha e um SMS, dois fatores de conhecimento.

• Quatro dicas para a implementação da autenticação sem senha

Quer implementar a autenticação sem senha? Confira essas quatro dicas para fazer isso de modo eficiente:

1. Escolha o modo de autenticação ideal para você. As alternativas incluem: impressões digitais, reconhecimento facial, OTPs recebidos por SMS, tokens de hardware, e links mágicos.
2. Independente de usar ou não senha, recomendamos a adoção de mais de um fator de autenticação a fim de garantir mais segurança para seus dados.
3. Você pode ter que adquirir um hardware se escolher realizar a autenticação por meio de biometria, por exemplo. Porém, alguns meios, como links mágicos exigem apenas o uso de softwares.
4. Para a autenticação sem senha ser funcional, você terá que adicionar dados das pessoas que vão acessar os sistemas. Ou seja, se você tem uma empresa e aderiu ao sistema de reconhecimento facial, será necessário registrar os rostos de seus colaboradores.

• A senha é um recurso de segurança que pode desaparecer?

Apesar de ser uma abordagem de segurança que se mostra cada vez mais vulnerável, as senhas seguem sendo utilizadas por pessoas e empresas. E o motivo é seu baixo custo de implantação e facilidade de uso. Além disso, muitos dispositivos legados podem não ser compatíveis com métodos de autenticação sem senha.

Porém, acreditamos que em breve esse quadro será alterado, uma vez que as empresas, segundo as informações que trouxemos nesse artigo, já sentem os prejuízos causados por invasões, e estão investindo cada vez mais em recursos de autenticação, como a biometria.

Além disso, as legislações que atualmente regulamentam a segurança de dados, como é o caso da LGPD, são bastante rigorosas em caso de violações de dados, o que gera mais uma preocupação e mais uma razão para investir em autenticação sem senha. 

• Contas da Microsoft podem ser acessadas sem senha

Desde setembro de 2021, usuários da Microsoft podem fazer login utilizando a autenticação sem senha, empregando mecanismos de identificação para substituí-las. Isso significa que é possível confirmar sua identidade por meio dos seguintes recursos:

• Chave de segurança física;
• SMS;
• E-mail;
• Windows Hello; e
• Microsoft Authenticator.

Essa novidade se justifica pela necessidade de reduzir os casos de invasões, uma vez que grande parte das pessoas acessa suas contas da Microsoft com senhas fáceis de descobrir. Além da Microsoft, a Apple e o Google também aderiram a alternativas de login sem senha, embora não tenham abandonado por completo o paradigma usuário/senha. 

• Sobre a senhasegura

Proporcionamos soberania digital às organizações acerca de ações e informações privilegiadas, uma vez que atuamos evitando roubos de informações e rastreabilidade de ações de administradores em redes, servidores, bancos de dados e uma infinidade de dispositivos. 

Também colocamos as empresas em conformidade com requisitos de auditoria e com os mais exigentes padrões, dentre eles PCI DSS, Sarbanes-Oxley, ISO 27001 e HIPAA. 

• Conclusão

Nesse artigo, explicamos porque as senhas não são mais consideradas por muitos profissionais de TI como um meio efetivo de garantir a segurança cibernética. Também abordamos a importância da autenticação sem senha e de que maneira esse recurso pode e deve ser implementado.

Se você gostou do nosso artigo, mostre este conteúdo a mais alguém que possa se interessar pelo tema autenticação sem senha. 

LEIA TAMBÉM NO BLOG DO SENHASEGURA

Quais as principais vulnerabilidades da cibersegurança na Indústria 4.0

Falha do spooler de impressão do Windows: por que devo atualizar imediatamente?

Soberania digital: os preceitos da senhasegura pelo olhar de periódico americano