A 5 de maio, data em que se assinalou o Dia Mundial da Password, a Google, a Apple e a Microsoft anunciaram que vão disponibilizar suporte aos padrões de autenticação FIDO sem palavra-passe ao longo do próximo ano.
A norma foi criada pela FIDO Alliance e pelo World Wide Web Consortium (W3C) e dá aos websites e aplicações a possibilidade de disponibilizarem aos utilizadores formas “consistentes, seguras e fáceis” de se autenticarem em múltiplas plataformas e equipamentos sem recorrerem a uma password. Mas o que é esta norma de autenticação, como funciona e que mudanças vai trazer para os utilizadores?
As passwords são um instrumento crítico a nível de cibersegurança, no entanto, estão suscetíveis tanto às dinâmicas do fator humano como às tendências do cibercrime. Até mesmo os utilizadores que têm palavras-passe únicas, fortes e complexas para cada uma das suas contas online podem ser vítimas de esquemas de phishing. É também necessário ter em conta que o processo de criação e gestão de passwords adequadas pode ser complicado para alguns utilizadores, sobretudo aqueles que estão menos habituados a lidar com tecnologia.
Como explica a FIDO Alliance, embora métodos como autenticação de dois fatores ou de gestores de passwords apresentem “melhorias significativas” em relação à simples utilização de palavras-passe, a indústria tecnológica tem vindo a reunir esforços para criar tecnologia de autenticação que seja mais segura e conveniente.
Na prática, através do sistema que será implementado pela Google, Apple e Microsoft, os utilizadores precisam apenas de desbloquear os seus smartphones, seja por meio de um pin, de impressão digital, ou reconhecimento facial, para iniciarem sessão em websites ou aplicações. O smartphone passa a armazenar uma credencial FIDO, que é usada para desbloquear as suas contas online.
De acordo com a FIDO Alliance, através da colaboração com as três gigantes tecnológicas, o sistema permitirá que os utilizadores acedam às credenciais FIDO em múltiplos equipamentos sem a necessidade de passarem pelo processo de configuração de contas em cada um deles.
Além disso, este método de autenticação dá a quem o usa a possibilidade de iniciar sessão em equipamentos que estejam por perto a partir do seu smartphone, independentemente do sistema operativo ou do browser que está a ser utilizado.
A tecnologia de Bluetooth desempenha um papel relevante neste contexto, uma vez que é utilizada para estabelecer uma ligação entre o smartphone do utilizador e os equipamentos onde se pretende autenticar.
Num whitepaper publicado em março deste ano a FIDO Alliance explica que a vasta maioria dos métodos de autenticação de dois fatores fazem uso de smartphones. No entanto, o consórcio afirma que mesmo este método não está a salvo dos cibercriminosos que estão a tentar levar acabo esquemas de phishing.
O utilizador pode introduzir inadvertidamente uma OTP [one-time password] num website de phishing, ou então aprovar uma notificação de login no seu smartphone sem se dar conta que esta o reencaminhará para uma página falsa e não para o website que estava à espera.
Note-se que o padrão de autenticação FIDO em si não depende da tecnologia de Bluetooth, mas a FIDO Alliance afirma que a sua utilização confere uma maior resistência a possíveis ataques de phishing, uma vez que requer proximidade física entre equipamentos.
O que acontece se alguém mudar ou perder o smartphone que usa para se autenticar? Como já tinha sido explicado pela Google, num cenário destes, as credenciais FIDO serão sincronizadas com segurança com um novo equipamento a partir do backup na Cloud, algo que acontecerá também no caso da Apple e Microsoft.
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários