Tecnologia
A ideia de que a palavra-passe já não cumpre os requisitos dos sistemas modernos e que a sua substituição por um mecanismo mais seguro é inevitável tem vindo a ser avançada há mais de 15 anos.
28-03-2019
Já em 2004 Bill Gates (na altura Chief Software Architect da Microsoft) assumia que as palavras-passe, por si só, já não estavam à altura do desafio de proteger qualquer sistema ou informação considerada importante. A primeira interação tornada popular na década de 1990 passava pela distribuição de dispositivos físicos (normalmente com um formato passível de ser utilizado junto com um porta-chaves) que geravam um código aleatório a cada minuto, e que em conjunto com uma palavra-passe asseguravam o acesso aos sistemas.
Mas este sistema tem vários inconvenientes: por ser um dispositivo físico, é suscetível a perdas, e não é escalável, uma vez que normalmente está associado a um sistema ou organização específica. Este mecanismo foi, entretanto, substituído pelo envio de SMS com um código único válido para uma autenticação, eliminando a necessidade de distribuir os dispositivos físicos e utilizando aquilo que se tornou um dispositivo ubíquo na nossa sociedade: o telemóvel. Infelizmente, a experiência demonstra que esta forma de distribuição de códigos é suscetível a ataques, quer através do comprometimento dos próprios dispositivos móveis, quer pela duplicação ou substituição dos respetivos cartões SIM. Hoje em dia temos outros mecanismos para substituir o SMS enquanto segundo fator de autenticação, mas nenhum ainda se provou suficientemente ubíquo, escalável e fácil de utilizar, capaz de ganhar tração fora de comunidades não-técnicas. Felizmente, o desenvolvimento tecnológico nesta área tem sido assinalável e movido pelos fabricantes de smartphones, que generalizam a passos largos a utilização de mecanismos biométricos (impressão digital ou reconhecimento facial), tornando- os numa forma socialmente aceite e percebida para aceder a dispositivos e a informação. Mas não se trata da única evolução no campo da autenticação. A capacidade de processamento aliada à análise comportamental permitiu o desenvolvimento de metodologias de acesso que ajustam a complexidade dos esquemas de autenticação a utilizar conforme o grau de certeza que o sistema tem relativamente à identidade do utilizador. De facto, apesar de hoje em dia a tecnologia estar por toda a parte, o ser humano é afeto a rotinas e hábitos, pelo que estes normalmente utilizam o mesmo dispositivo para efetuar as mesmas tarefas. O acesso ao homebanking é feito normalmente a partir do computador ou do smartphone, enquanto que o acesso ao correio eletrónico profissional se efetua a partir do computador empresarial ou de um dispositivo móvel (pessoal ou corporativo). Isto faz com que seja possível aliar a “impressão digital” desses dispositivos, a sua localização geográfica e até a hora a que está a ser feito o acesso e, caso a caso, tornar mais ou menos complexo o método de autenticação solicitado. Apesar de todas estas evoluções nas metodologias de autenticação, nenhum sistema será 100% seguro (sob pena de se tornar 0% funcional). O caminho passa por acompanhar em permanência a evolução das metodologias e ferramentas utilizadas pelos atacantes e estar um passo à sua frente, mantendo a funcionalidade para os seus utilizadores. Infelizmente, a palavra-passe só por si já não consegue assegurar nenhum desses critérios. O que podem as organizações fazer hoje, enquanto as novas tecnologias de autenticação não estão globalmente acessíveis para todos os sistemas e aplicações? A solução passa pela utilização de múltiplos fatores de autenticação em todos os serviços e sistemas que o permitem (em 2019, avaliar substituir todos aqueles que não o permitem), e pela monitorização ativa o comportamento dos atacantes e da publicação de credenciais roubadas que envolvam as suas organizações, forçando os utilizadores afetados a alterar de imediato as suas credenciais. Fonte: www.itinsight.pt Autor: João Farinha - Head of Audit at S21sec Portugal |