A morte anunciada da password?

Em setembro de 2021, Vasu Jakkal, Corporate Vice-President, Security, Compliance and Identity da Microsoft, escreveu no blog da empresa que “ninguém gosta de passwords. São inconvenientes. São o principal alvo para ataques. No entanto, durante anos, têm sido a camada de segurança mais importante para tudo nas nossas vidas digitais”.

A publicação surge depois de, em março de 2021, a Microsoft ter anunciado que o sign in sem password estava disponível para todos os utilizadores, prometendo que podiam “remover completamente a palavra-passe da vossa conta Microsoft” e utilizando, em alternativa, aplicações de autenticação multifatorial, o Windows Hello, uma security key ou um código de verificação enviado diretamente para o telemóvel ou email.

No entanto, urge pensar até que ponto é que a palavra-passe é uma coisa do passado, que muito em breve passará para os livros de História da Internet ou se, por outro lado, ainda será uma necessidade nos tempos que aí vêm.

Base da autenticação

Segundo um estudo de 2020 da Verizon, 80% das violações de dados começam pelo roubo de uma palavra-passe que, muitas vezes, são simples ou fáceis de lembrar. Soluções como multifactor authentication são cada vez mais utilizadas como complemento à palavra- passe mais comum, sendo de extrema importância para a cibersegurança dos utilizadores e das organizações.

John Shier, Senior Security Expert da Sophos, afirma que “a possibilidade de um futuro sem passwords existe, mas temo que ainda seja uma realidade bastante longínqua para muitas organizações”. Alexandre Cagnoni, Diretor de Autenticação da WatchGuard Technologies, concorda que esse futuro, se de facto existir, está ainda “muito longe”. “Existem iniciativas para tentar eliminar as passwords, mas são só isso”, diz.

Mafalda Garcês, Country Leader & People Director da Dashlane, acredita que um verdadeiro futuro sem palavras-passe não vai acontecer assim tão cedo. “A vida ficará mais simples, haverá formas de autenticação mais convenientes que nos ajudem a esquecer a complexidade de termos de nos lembrar das nossas passwords”, como biometria ou chaves de hardware, mas a palavra-passe, que não é mais do que “apenas um simples segredo”, vai permanecer a “base da autenticação por muito tempo”.

Alexandre Cagnoni refere que para termos um futuro sem qualquer palavra-passe seria “necessária uma mudança muito grande na forma como lidamos com a autenticação atualmente”. Entre as iniciativas que já existem neste sentido, o “FIDO2, por exemplo, é uma especificação que está a tentar criar um ecossistema onde não existem passwords”. Ainda que empresas como a Microsoft e a Google incentivem ao fim da palavra-passe, “ainda são poucas as aplicações e os sites que suportam esse tipo de acesso passwordless”.

John Shier relembra que é muito provável que os colaboradores já estejam a utilizar alguma forma de autenticação sem palavra-passe, mas “este cenário é muito mais difícil de implementar no panorama corporativo, e frequentemente requer um investimento em novas tecnologias. As vantagens adicionais a nível de segurança não são, muitas vezes, suficientes para compensar os custos de implementação”.

Por seu lado, Miguel Caldas, Cloud Architect da Microsoft Portugal, acredita que “no caso de utilizadores sem necessidades particularmente elevadas nas áreas da segurança, a sua identificação pode ser feita por meios mais seguros do que a simples, mas frágil e insegura password”.

Alternativa nas organizações

Para que os utilizadores corporativos deixem de utilizar uma palavra-passe, é preciso existir uma alternativa viável à sua substituição. Mafalda Garcês indica que a principal é o single sign-on, “uma credencial central usada para gerir a autenticação em vários sistemas internos”. No entanto, alerta, esta solução “não é, para já, aplicável a todos os casos, principalmente numa realidade em que os colaboradores recorrem a cada vez mais serviços e sites diferentes que não passam pelos sistemas internos da empresa”.

Para o Senior Security Expert da Sophos, “as verdadeiras alternativas sem password, como a biometria, os tokens de hardware baseados em dispositivos, ou os certificados, são todas opções válidas para aplicar no setor corporativo”, mas, alerta, o problema é que, ainda que os mecanismos de autenticação sem password sejam mais eficazes do que as palavras- passe – seja em termos de segurança ou de usabilidade –, estas são muito difíceis de implementar. “Existe, para além disso, o problema da compatibilidade com sistemas e aplicações mais antigas e da interoperabilidade com serviços externos”, explica. Para Shier, a primeira alternativa a um sistema baseado inteiramente em passwords é adicionar um segundo fator.

Miguel Caldas, da Microsoft, relembra que existiu uma época com “muita atenção e investimento dedicado a smartcards ou outros tipos de hardware tokens”, mas que a atual tendência “dentro das organizações com necessidades de alternativas em grande volume para a password é a utilização da biométrica simples: reconhecimento facial ou impressão digital”.

Alexandre Cagnoni explica que, uma vez que as aplicações não estão preparadas para um mundo sem palavras-passe, “são muito poucas as opções disponíveis”. Pegando no exemplo da Microsoft e do Windows Hello for Business – que permite fazer o login através da câmara e de reconhecimento facial, sendo, por isso, uma forma de acesso totalmente passwordless –, esta é uma realidade que só funciona para o login do Windows e em versões específicas. “Se depois quero, por exemplo, aceder à aplicação em cloud da Salesforce, já não consigo utilizar o mesmo método”, acrescenta.

Autenticação multifator

Nos últimos tempos, a autenticação multifator – ou multifactor authentication (MFA) – tem sido cada vez mais utilizada e acrescenta uma nova camada de segurança à entrada nos mais diversos serviços e aplicações.

John Shier indica que a autenticação multifator é “um requisito para todas as organizações”, mas que, “infelizmente”, ainda existem muitas que “ainda não a implementaram, ou que a utilizam mas não é forte o suficiente”; assim, acrescenta, “é mais fácil que suceda um roubo ou uma fuga de credenciais que podem, facilmente, ser utilizadas por cibercriminosos para aceder à rede”.

A Country Leader & People Director da Dashlane explica que a utilização deste tipo de autenticação “é fundamental”. “O uso está em alta, mas estamos apenas no começo. Ainda não é totalmente mainstream, principalmente porque as soluções ainda são muito inconvenientes para os funcionários”, refere Mafalda Garcês.

Miguel Caldas reforça que a autenticação multitafor é, “sem qualquer dúvida”, muito importante para as empresas. “Todos os sistemas modernos de autenticação têm componentes multimodais, em que a forma de autenticação varia com as circunstâncias em que é utilizada”. Estas variações, acrescenta, podem ser estáticas ou dinâmicas em função de condições ambientais variáveis. “O facto de este tipo de funcionalidades estar incluído em produtos de grande consumo” leva a que “a sua utilização pelas empresas e outras organizações seja já muito frequente”.

O Diretor de Autenticação da WatchGuard Technologies afirma que a utilização de autenticação multifator “é uma realidade crescente”, principalmente “devido à pandemia” e ao teletrabalho, onde a rede é partilhada por várias pessoas e não está num ambiente controlado pela empresa. “Então, é como se estivesse num Starbucks ou num lugar de acesso partilhado. As empresas perceberam isso e que precisavam de começar a utilizar a autenticação multifatorial”, diz.

Cagnoni dá como exemplo os Estados Unidos, onde foi assinada uma ordem executiva “segundo a qual todas as agências governamentais e fornecedores que trabalham com entidades do governo têm de utilizar autenticação multifatorial”. Também as seguradoras nos EUA e no Canadá exigem esta autenticação como condição nos seguros cibernéticos.

As organizações vão ter de implementar autenticação multifator “para um maior número de aplicações além do acesso remoto, sob pena de ficarem completamente desatualizadas e desprotegidas. Aliás, podem mesmo vir a ser obrigadas a fazê-lo se houver uma ordem dos diferentes governos europeus semelhante à dos EUA e quiserem continuar a trabalhar com entidades governamentais. E isso vai acabar por acontecer”, assegura Cagnoni.

“As boas notícias são que a MFA é uma excelente forma de deter um atacante, e que, de facto, a sua adoção continua a aumentar”, conclui o representante da Sophos.

Biometria é alternativa?

Sabendo que “a biometria não funciona como uma senha”, até porque uma palavra-passe “pode ser revogada ou trocada e não se pode fazer o mesmo com uma impressão digital”, como diz Alexandre Cagnoni, John Shier afirma que “um cibercriminoso teria mais facilidade em roubar o dedo de uma vítima do que o seu equivalente digital”.

O Cloud Architect da Microsoft Portugal afirma que, apesar de algumas “infelizes exceções”, o “receio das pessoas de que a imagem da sua face ou da sua impressão digital esteja guardada numa qualquer base de dados é hoje infundada”, mas que é importante que “haja um escrutínio” na “forma de armazenar e tratar esses dados biométricos” que, diz, “biométricos não são muito diferentes de outros tipos de dados acerca de nós que também são frequente armazenados com alguma displicência, e cuja utilização indevida traria danos tão ou mais relevantes como os provenientes da utilização indevida de dados de autenticação”.

O representante da WatchGuard Technologies relembra que “a segurança depende da forma como os sistemas são implementados”. Neste sentido, “nos sistemas mais comuns existe um primeiro processo que captura as minúcias digitais e posteriormente armazena-as em arquivo. Mas, se este armazenamento é feito de forma centralizada e alguém tem acesso aos dados, pode trocar as impressões digitais e, por exemplo, copiar a minha e associá-la a outro utilizador, o que me permitirá aceder aos sistemas como se fosse outra pessoa”.

Cagnoni afirma que as formas de autenticação biométrica facial atuais “são muito boas e eficazes”, mas são “sistemas mais recentes e nem todos são assim”, tornando a biometria numa “alternativa às senhas apenas em algumas situações, mas poucas e muito específicas”. Para além disso, uma desvantagem atual é que “não existe uma unificação, cada sistema tem a sua própria forma de funcionar”.

John Shier, da Sophos, refere que “é pouco provável que uma identificação biométrica, como uma impressão digital, seja comprometida de tal forma que possa ser utilizada num ataque de repetição. Quando implementados corretamente, os fatores biométricos modernos são armazenados num local separado e seguro, encriptado, e são apenas uma representação matemática da biometria, não sendo reversíveis”.

O fim da palavra-passe

Se caminhamos para um futuro em que a palavra-passe é acompanhada de outros fatores de autenticação, minimizando o eventual dano de uma ‘simples’ password, um futuro em que a palavra-passe está morta e enterrada nas empresas não deve acontecer assim tão cedo, como refere Cagnoni.

Mafalda Garcês afirma que esse futuro não deverá acontecer “durante as nossas vidas” e utiliza uma analogia com o dinheiro físico e os sistemas de pagamentos virtuais: “apesar de termos a capacidade de viver num mundo sem dinheiro físico, este ainda está muito presente nas nossas vidas, e volta e meia revela-se absolutamente essencial”. Assim, diz, as passwords “são a base da nossa segurança e identidade digital – e antevejo que se mantenham durante os próximos anos”.

John Shier acredita que, “numa primeira fase, a adoção de tecnologias sem password acontecerá maioritariamente em grandes empresas, seguindo-se as médias empresas e, depois, as mais pequenas, devido ao custo e à complexidade da implementação. A Microsoft está a pressionar agressivamente para que avancemos para um mundo sem passwords, o que vai acelerar a sua adoção – mas ainda vai demorar algum tempo até que consigamos ver uma ampla adesão a esta realidade”.

Para Miguel Caldas, até a password “morrer, vai seguramente demorar muito tempo”. Do lado dos fornecedores de tecnologia, como a Microsoft, cabe “criar as condições para que as organizações tenham à sua disposição um leque de alternativas que possam ser utilizadas para a satisfação das suas necessidades”.

Na opinião de Alexandre Cagnoni, “as empresas têm é de se preocupar com as passwords em si e como são utilizadas fora das empresas, porque não têm controlo sobre isso. Por exemplo, posso usar a minha senha para entrar no computador da empresa noutros sítios, como o Facebook, o Google ou a Netflix, e depois partilhar essa senha com a minha filha, que partilha com um amigo. É por isso que a autenticação multifatorial é muito importante. Se a password for de alguma forma comprometida, ainda existem outros fatores de autenticação para acesso ao sistema protegido”.