Por Suzanne Choney //
Rápido: mude sua senha novamente. Certifique-se de que tenha uma combinação de letras maiúsculas, números e caracteres especiais. Espere, não. Em vez disso, escreva uma longa frase aleatória que você possa lembrar. Espere, não. Pare. Pare com essa loucura! É hora de matar a senha.
Essa relíquia dos primórdios da computação sobrevive à sua utilidade e, certamente, à sua capacidade de manter os criminosos à distância. Mais de dois terços das pessoas usam a mesma senha, geralmente não muito forte, em dezenas de contas diferentes. Senhas fracas e identidades roubadas são a fonte número 1 da perda de dados. Somente em 2016, 81% das principais violações de dados puderam ser rastreadas até a identidade comprometida de um indivíduo.
Senhas roubadas são tão comuns entre os criminosos que eles podem facilmente comprar 1.000 nomes de usuários e senhas por menos de 20 dólares na dark web – e, com um investimento tão pequeno, podem infligir uma quantidade enorme de danos financeiros.
A abordagem padrão das senhas – alterá-las com frequência e incluir uma combinação de letras maiúsculas, números e caracteres especiais – baseia-se em orientações definidas em 2003 pelo Instituto Nacional de Padrões e Tecnologia (NIST), dos Estados Unidos.
Bill Burr, o engenheiro agora aposentado que escreveu a diretriz, disse recentemente que ela não funcionou bem. “A orientação apenas impulsiona as pessoas, mas elas não escolhem boas senhas, não importa o que você faça”, disse ele ao The Wall Street Journal.
A Microsoft vê um caminho melhor a seguir. Com inteligência, inovação e parcerias, a empresa está ajudando a impulsionar uma mudança de todo o setor para além das senhas.
As tecnologias subjacentes são avançadas, mas a abordagem não poderia ser mais simples: em vez de fazer você se lembrar de uma lista de senhas, a Microsoft está fazendo de você a senha.
“Como em qualquer empresa ou família, o erro humano e as senhas fracas tornam os alvos mais fáceis para os criminosos.”
“Durante várias décadas, o setor se concentrou na segurança dos dispositivos”, diz Bret Arsenault, vice-presidente corporativo e diretor de segurança da informação da Microsoft. “Esse modelo precisa de uma reforma. Proteger os dispositivos é importante, mas não suficiente. Também devemos nos concentrar na segurança das pessoas. Podemos aprimorar sua experiência e segurança, permitindo que você se torne a senha.”
A Microsoft iniciou um grande movimento para eliminar as senhas com o Windows Hello, apresentado no Windows 10. O Windows Hello foi projetado para trabalhar em qualquer dispositivo Windows 10 com sensores biométricos para verificar a identidade do usuário com base em características físicas como um rosto ou uma impressão digital.
Por exemplo, a câmera infravermelha nos dispositivos Microsoft Surface não está apenas levando sua foto para identificação facial, diz Rob Lefferts, diretor de gerenciamento de programas para Windows Enterprise and Security. “Na verdade, a câmera está construindo um mapa 3D do seu rosto. Tem profundidade e características, e usamos a análise multiespectro, de modo que recebemos várias imagens do seu rosto de diferentes perspectivas.”
Outra abordagem para eliminar senhas é incorporar outros objetos ou dispositivos que você carrega. Por exemplo, se tiver um dispositivo iOS ou Android, você pode usar o Microsoft Authenticator App para fazer login na sua conta Microsoft com um PIN (número de identificação pessoal) ou impressão digital como verificação. As empresas em breve poderão oferecer aos funcionários a mesma autenticação fácil e segura para aplicativos corporativos e recursos internos através do Azure Active Directory e do Microsoft 365.
Esses sistemas mais recentes são fáceis de usar, e isso é crucial quando se trata de incentivar as pessoas a mudarem de um sistema de segurança amplamente adotado, como as senhas, que podem ser ruins, mas são velhas conhecidas.
“Estamos incentivando os usuários a experimentar a nova tecnologia e constatar por si mesmos que é mais fácil de usar do que as senhas”, diz Lefferts. “Acho que um dos medos que as pessoas têm é que a nova tecnologia seja mais complicada, e não percebem que nós fomos pressionados a torná-la mais simples e melhor.”
Cerca de 70% dos usuários do Windows 10 com dispositivos biométricos estão escolhendo o Windows Hello em detrimento das senhas tradicionais.
Descartar as senhas é o cerne da FIDO (Fast IDentity Online) Alliance, um consórcio sem fins lucrativos de líderes do setor, incluindo a Microsoft, que desenvolveu padrões abertos para uma autenticação mais simples e forte. As especificações e certificações da FIDO Alliance ensejaram um amplo ecossistema de autenticadores baseados em hardware, mobilidade e biometria que podem ser usados com muitos aplicativos e sites.
Mais de 250 organizações líderes mundiais pertencem à FIDO Alliance, incluindo Intel, Google, Samsung, Qualcomm, Visa, PayPal, eBay, Bank of America, MasterCard, American Express e Verizon. A Microsoft está no conselho de administração da aliança.
“Um dos medos que as pessoas têm é que a nova tecnologia seja mais complicada, e não percebem que nós fomos pressionados a torná-la mais simples e melhor.”
“Estamos empenhados em resolver esse problema em todo o setor de TI, e é por isso que estamos colaborando com os outros por meio da Fast IDentity Online Alliance”, diz Arsenault. “Construímos um plano para a tecnologia, agora conhecido como FIDO 2.0, compartilhamos e participamos da sua evolução através de uma colaboração aberta com outros na aliança.”
Os aplicativos da FIDO já estão habilitados em muitos dos principais fabricantes globais de telefones móveis, e mais de 350 produtos estão agora certificados pela FIDO, dando às empresas e provedores de serviços on-line uma variedade de soluções de autenticação FIDO interoperáveis para escolher.
“Queríamos substituir senhas, então precisávamos do mesmo tipo de escalabilidade que as senhas têm”, diz Brett McDowell, diretor executivo da FIDO Alliance. “Você pode usar uma senha em qualquer lugar, e precisamos de uma tecnologia que funcione não só em qualquer lugar, mas, eventualmente, em todos os lugares. E então, sabíamos que precisávamos ter um padrão aberto da indústria. Esse foi o primeiro passo.”
O próximo passo? “Nós precisamos ter certeza de que os segredos nunca foram compartilhados, então construímos o modelo de ‘prova de posse’ estabelecido na criptografia de chave pública como base do modelo de segurança FIDO”, diz McDowell.
A chave privada permanece no seu dispositivo pessoal; “Nunca é compartilhada pela internet, nunca é colocada em um banco de dados”, diz McDowell. “Em vez de uma senha estar armazenada no servidor, somente a chave pública para essa conta já foi compartilhada com o aplicativo on-line para que ele possa ser usado para verificar o que é chamado de ‘assinatura criptográfica’ do dispositivo do usuário durante futuros desafios de autenticação.” Esse processo confirma a “prova de posse” da chave privada sem nunca tê-la compartilhado, ele diz, “acabando assim o phishing para credenciais e / ou reutilizando credenciais roubadas de uma violação de dados”.
“Você está usando uma credencial criptográfica vinculada a um dispositivo, desbloqueado por um desafio biométrico “, diz McDowell. “E é exatamente assim que funciona o Microsoft Windows Hello.”
Se o Windows Hello e a FIDO são a chave para expandir as soluções sem senha para o público em geral, em muitos aspectos empresas como a Microsoft lideraram o movimento. Ao usar a proteção de identidade incorporada do Azure Active Directory em conjunto com o Windows Hello, a Microsoft vem dando aos clientes comerciais uma nova abordagem de segurança que usa inteligência de ameaças e aprendizado de máquina para mudar o foco da proteção do perímetro corporativo para os indivíduos e suas identidades.
“Proteger os dispositivos é importante, mas não suficiente. Também devemos nos concentrar em garantir a segurança das pessoas.”
Essa nova maneira de pensar permite que a TI proteja melhor os dados e os documentos, ao mesmo tempo que reduz a tensão do usuário final com a autenticação sem senhas e o acesso a aplicativos e serviços corporativos onde quer que estejam.
Arsenault diz que muito do que a Microsoft aprendeu sobre o que é preciso para mover as pessoas para além das senhas “vem de nossas experiências em proteger os próprios 125.000 funcionários da companhia em mais de 100 subsidiárias em todo o mundo, que servem a mais de um bilhão de pessoas no mundo todo dia”.
“Como em qualquer outra empresa ou família, o erro humano e as senhas fracas tornam os alvos mais fáceis para os criminosos”, diz Arsenault.
Hoje, “a maioria dos funcionários da Microsoft já faz logon em seus computadores usando o Windows Hello for Business em vez de senhas”, diz ele. “Muito em breve, esperamos que todos os nossos funcionários possam trabalhar completamente sem senha.”
A Microsoft possui uma longa trajetória de disponibilização de tecnologia futurista a todos. Entregar tecnologia sem senha por meio do sistema operacional mais popular do mundo e de software comercial inteligente, criar soluções complementares para uma gama crescente de dispositivos e uma vontade de compartilhar aprendizagens com o setor ao longo do caminho, dão à Microsoft uma habilidade única para acelerar dramaticamente a transição para longe da fonte número 1 do roubo de dados – as senhas.
Lefferts diz que a Microsoft está empenhada em ajudar todos os clientes a viverem em um “mundo sem senha”.
“Vai levar tempo para todas as partes, todos os sites importantes e todos os aplicativos importantes de linha de negócios adotarem essa tecnologia, e levará ainda mais tempo para os usuários, clientes e organizações fazerem a mudança cultural necessária para que as pessoas possam realmente viver neste novo mundo”, diz ele. “Mas temos o plano para acelerar esse movimento. A chave para o sucesso é garantir que a experiência do usuário seja realmente mais fácil e melhor do que a que ele tem com as senhas hoje.”
