A 5 de maio, data em que se assinalou o Dia Mundial da Password, a Google, a Apple e a Microsoft anunciaram que vão disponibilizar suporte aos padrões de autenticação FIDO sem palavra-passe ao longo do próximo ano.

A norma foi criada pela FIDO Alliance e pelo World Wide Web Consortium (W3C) e dá aos websites e aplicações a possibilidade de disponibilizarem aos utilizadores formas “consistentes, seguras e fáceis” de se autenticarem em múltiplas plataformas e equipamentos sem recorrerem a uma password. Mas o que é esta norma de autenticação, como funciona e que mudanças vai trazer para os utilizadores?

As passwords são um instrumento crítico a nível de cibersegurança, no entanto, estão suscetíveis tanto às dinâmicas do fator humano como às tendências do cibercrime. Até mesmo os utilizadores que têm palavras-passe únicas, fortes e complexas para cada uma das suas contas online podem ser vítimas de esquemas de phishing.  É também necessário ter em conta que o processo de criação e gestão de passwords adequadas pode ser complicado para alguns utilizadores, sobretudo aqueles que estão menos habituados a lidar com tecnologia.

Está na hora de mudar a password? Conheça 8 serviços de gestão de palavras-passe para deixar as contas mais seguras
Está na hora de mudar a password? Conheça 8 serviços de gestão de palavras-passe para deixar as contas mais seguras
Ver artigo

Como explica a FIDO Alliance, embora métodos como autenticação de dois fatores ou de gestores de passwords apresentem “melhorias significativas” em relação à simples utilização de palavras-passe, a indústria tecnológica tem vindo a reunir esforços para criar tecnologia de autenticação que seja mais segura e conveniente.

Na prática, através do sistema que será implementado pela Google, Apple e Microsoft, os utilizadores precisam apenas de desbloquear os seus smartphones, seja por meio de um pin, de impressão digital, ou reconhecimento facial, para iniciarem sessão em websites ou aplicações. O smartphone passa a armazenar uma credencial FIDO, que é usada para desbloquear as suas contas online.

O futuro é “passwordless” e a Google vai ter uma nova forma de autenticação no Android e Chrome
O futuro é “passwordless” e a Google vai ter uma nova forma de autenticação no Android e Chrome
Ver artigo

De acordo com a FIDO Alliance, através da colaboração com as três gigantes tecnológicas, o sistema permitirá que os utilizadores acedam às credenciais FIDO em múltiplos equipamentos sem a necessidade de passarem pelo processo de configuração de contas em cada um deles.

Além disso, este método de autenticação dá a quem o usa a possibilidade de iniciar sessão em equipamentos que estejam por perto a partir do seu smartphone, independentemente do sistema operativo ou do browser que está a ser utilizado.

FIDO Alliance | Autenticação sem password
créditos: FIDO Alliance

A tecnologia de Bluetooth desempenha um papel relevante neste contexto, uma vez que é utilizada para estabelecer uma ligação entre o smartphone do utilizador e os equipamentos onde se pretende autenticar.

Num whitepaper publicado em março deste ano a FIDO Alliance explica que a vasta maioria dos métodos de autenticação de dois fatores fazem uso de smartphones. No entanto, o consórcio afirma que mesmo este método não está a salvo dos cibercriminosos que estão a tentar levar acabo esquemas de phishing.

Nem todos somos “mestres” a gerir passwords, mas estes são os 10 piores exemplos de 2021
Nem todos somos “mestres” a gerir passwords, mas estes são os 10 piores exemplos de 2021
Ver artigo

O utilizador pode introduzir inadvertidamente uma OTP [one-time password] num website de phishing, ou então aprovar uma notificação de login no seu smartphone sem se dar conta que esta o reencaminhará para uma página falsa e não para o website que estava à espera.

Note-se que o padrão de autenticação FIDO em si não depende da tecnologia de Bluetooth, mas a FIDO Alliance afirma que a sua utilização confere uma maior resistência a possíveis ataques de phishing, uma vez que requer proximidade física entre equipamentos.

O que acontece se alguém mudar ou perder o smartphone que usa para se autenticar? Como já tinha sido explicado pela Google, num cenário destes, as credenciais FIDO serão sincronizadas com segurança com um novo equipamento a partir do backup na Cloud, algo que acontecerá também no caso da Apple e Microsoft.