Quase todas as violações de dados começam com senhas comprometidas. Seja por meio de esquemas sofisticados de phishing, ataques de força bruta, engenharia social, ou qualquer outro método fraudulento de captura de credenciais, a senha é a primeira e – muitas vezes, a única – linha de defesa contra ataques cibernéticos.
Quando as senhas são quebradas, os sistemas da organização ficam vulneráveis a todo tipo de programa e atividade maliciosa. Deste modo, a estratégia de usar apenas um combo de nome de usuário e senha na proteção de contas pessoais e bancos de dados empresariais está muito longe do ideal.
Senhas são vulneráveis
Embora, em algum momento, as senhas já tenham sido consideradas um método de proteção confiável, sua reputação tem sido minada ao longo dos anos pela comprovação constante de sua fraqueza. Mesmo em seu auge, os combos de nome de usuário e senha já eram uma estratégia imperfeita de segurança, não apenas para os bancos de dados das organizações, como também para o usuário final. Com tantas contas virtuais – Amazon, Netflix, Paypal, Uber, duas ou mais contas de Internet banking, dezenas de perfis em redes sociais e endereços de e-mail –, o usuário moderno de Internet é forçado a memorizar, em média, senhas para até 92 contas.
Em minha opinião, empresas grandes e pequenas já deveriam estar empregando autenticação de dois fatores (2FA) para a segurança de seus usuários finais e também para proteger sistemas internos. Entretanto, mesmo em organizações maiores, esses mecanismos ainda não são amplamente usados. Um exemplo disso aconteceu com a Uber. Em uma violação de dados envolvendo privacidade do usuário e protocolo legal, as bases de dados da gigante do transporte compartilhado foram invadidas por dois hackers usando apenas a senha de um funcionário. A senha obtida pelos cibercriminosos era para a conta de serviços web de back-end da Uber. Após entrarem no sistema, eles baixaram dados não criptografados de mais de 57 milhões de usuários e motoristas.
A escalada do acesso sem senha
Mesmo com todos os seus defeitos, as senhas são tão universais como computadores pessoais e telefones celulares. Ninguém realmente gosta delas, mas ninguém quer aposentá-las de vez (como o Commodore 64 ou Zune), pelo menos até agora. O que separa a 2FA convencional da autenticação sem senha é que, em vez de uma plataforma enviar um código de segurança para inserção pelo usuário final e verificar a sua identidade, o processo de confirmação das duas soluções dispensa completamente o fornecimento de uma senha.
Então, as senhas serão mesmo eliminadas das nossas vidas? É difícil dizer, mas definitivamente existe uma tendência crescente para afastar-se da estratégia de segurança mais antiga da Internet, e podemos imaginar que, no futuro, cada vez menos plataformas virtuais exigirão uma senha de acesso.
Uma coisa é certa: com ou sem senha, uma estratégia robusta de segurança deve envolver um mecanismo de autenticação de vários fatores que seja compatível, intuitivo e ágil em todos os canais e dispositivos.