Guardar uma senha na cabeça, ao menos uma senha realmente segura, nunca foi uma tarefa fácil. Mesmo utilizando a clássica cifra de substituição numérica ou a cifra de César, às vezes lembrar quais foram as letras modificadas pode ser um problema.
Por isso recorremos aos famosos gerenciadores de senhas, como o 1Password e outras soluções. O problema de utilizar esse tipo de solução, para todas as senhas, é que em caso de vazamento da chave mestra, que abre o cofre principal, todas as suas senhas estarão vulneráveis. Outro problema encontrado é: Utilizar a solução no celular, mas utilizar a biometria do aparelho para desbloquear o cofre principal. Em caso de roubo, tudo será acessado com facilidade.
Nas inúmeras tentativas de facilitar o login do usuário e criar mais segurança no processo, empresas vêm trabalhando em chaves de criptografia, físicas ou não, que dão acesso a conta do usuário de maneira automática.
Um exemplo de solução física que podemos encontrar são as chaves da Yubico, por exemplo. Onde a mesma funciona como um Token de certificado A3 para o usuário. Esse equipamento dará a liberação de acesso para as contas e trará mais segurança. Alguns aparelhos celulares mais modernos, suportam essas chaves e liberam o acesso utilizando elas. Além de versões mais modernas da chave que trazem um leitor de digital. O que impede a liberação e acesso ao apenas conectar o aparelho na USB de um equipamento.
O problema da chave física é o transtorno de carregar mais um item, nos inúmeros já portados de cima para baixo. Para acabar com esse problema, o Google lançou a “Chave de acesso”. Um sistema criado pela FIDO Alliance para que uma espécie de certificado seja instalado no aparelho celular do usuário. Como o aparelho celular sempre está conosco, facilita a usabilidade da funcionalidade e o custo. Já que ter uma chave física de acesso gera um custo que com o aparelho celular não teremos.
Após instalar esse “certificado” no aparelho autorizado, basta o usuário ler um QR Code ao tentar acessar o serviço e o acesso será liberado. Sem digitar nenhuma senha para tal ação. Nem mesmo a autenticação de duas etapas, neste cenário, é necessária.
Isso acaba com a necessidade de senhas fortes? Não. Acaba com a necessidade de autenticação de duas etapas? Não.
Esta novidade deve ser levada como um facilitador de login. Mas, lembre-se que em caso de extravio do aparelho celular, você precisará do seu usuário e senha para acessar a conta e revogar o acesso do mesmo.
E por último, vale ressaltar que vários aparelhos Android são compatíveis com a novidade, além dos aparelhos da Apple. E logo veremos as soluções de armazenamento de senha entrando na onda, como é o caso da 1Password que liberou uma atualização para assinantes, que trás a novidade diretamente no aplicativo do usuário. Uma novidade, que vale a pena testar.
Danilo Arouca
CIO | CTO | IT Consultant
TecnoLoide Tecnologia
