Todos conhecemos pessoas — ou, ainda pior, empresas — que continuam a guardar as suas passwords em blocos de notas ou folhas de Excel. Muitas vezes, estas passwords são repetidas em múltiplas plataformas como redes sociais ou apps bancárias, sem distinção do seu grau de relevância no que diz respeito à proteção de dados.
Aos dias de hoje, acho que já ninguém desconhece que utilizar passwords fracas ou previsíveis para aceder a contas online nos torna vulneráveis e alvos fáceis para os cibercriminosos. Não deixa de ser, por isso, curioso que passwords como “123456” ou simplesmente “password” continuem a ser extraordinariamente populares e que, em média, a percentagem de reutilização de passwords seja superior a 44% a nível mundial.
Isto mostra que muito tem estado a falhar, ao longo dos anos, na sensibilização em relação à importância de proteger os nossos dados de acesso e de autenticação. Penso que já passou tempo suficiente para que seja seguro dizer que é fundamental mudar de rumo e deixar para trás esta tendência de utilizar datas importantes ou nomes de pessoas – relativamente fáceis de adivinhar através da nossa social footprint – como método de autenticação.
É por esta razão que celebrar o Dia Mundial da Password continua a ser pertinente e, até, essencial. Representa a importância de manter a sensibilização para as boas práticas de segurança da nossa identidade online – não apenas através de passwords fortes, únicas e seguras, mas também de mecanismos adicionais, como a autenticação de dois fatores. Não obstante, nos últimos tempos, os sistemas de autenticação passwordless têm surgido como uma tendência emergente e como uma alternativa que permite colmatar esta lacuna de segurança associada ao fator humano. Hoje em dia, todos temos um ou mais dispositivos – como tablets, computadores, telemóveis e wearables – nos quais utilizamos métodos passwordless, como a nossa impressão digital ou Face ID. Por que não trazer esta fórmula única e segura que nos identifica para o acesso a websites e apps?
Este conceito acaba por tornar as passwords obsoletas, na medida em que estas deixam de ser necessárias e passam a ser substituídas por longas sequências de caracteres baseadas em criptografia de chave pública, que são sempre fortes e únicas – as passkeys – e que têm a capacidade de nos identificar inequivocamente perante qualquer website ou app que implemente o mesmo sistema. Para além disso, tanto a geração da chave de segurança como o seu reconhecimento no processo de login, são transparentes para o utilizador – representando uma melhoria significativa, não só em termos de velocidade de acesso, mas também no que diz respeito ao nível de segurança oferecido, uma vez que é identificado, de forma única, o dispositivo que é utilizado para efetuar esse acesso. A cereja no topo de bolo é que, por defeito, esta acaba por se tornar numa autenticação de dois fatores, dado que, grande parte das vezes, o dispositivo que utilizamos para aceder e guardar as nossas chaves de segurança, está, ele próprio, protegido por mecanismos de autenticação nativos, como o Face ID ou o código PIN utilizados para desbloquear um telemóvel.
Os métodos de autenticação passwordless promovem uma experiência do utilizador bastante mais simples e intuitiva, com redução da exposição a técnicas de roubo de passwords como phishing, uma vez que estes dispositivos são menos suscetíveis a serem interceptados; tornando a tecnologia no alvo, em vez do utilizador. Também no que respeita às empresas, estes podem ser alternativas mais sustentáveis, permitindo poupar, por exemplo, em formações preventivas relacionadas com phishing, uma das principais ciberameaças para as organizações.
Mas existem também desafios, como a falta de confiança num método de autenticação que não é “visível” para o utilizador e que pode levar a uma falsa sensação de segurança em relação às passwords tradicionais. Outro desafio – para os profissionais que trabalham nesta área e para os principais players do mercado – passa por assegurar que os serviços passwordless são interoperáveis entre si e falam uma linguagem comum, oferecendo a mesma experiência e facilidade de integração e utilização entre dispositivos. Este é, aliás, um trabalho que a FIDO Alliance tem vindo a desenvolver, no sentido de lançar novas diretrizes que permitam a portabilidade de passwords e passkeys entre os diferentes operadores, com melhoria da experiência do utilizador e das questões de segurança. Por outro lado, garantir a segurança dos nossos dados biométricos passa a ser um desafio real e algo que nunca experienciamos no passado, como a situação da Worldcoin nos mostrou recentemente, com milhares de pessoas a permitirem a recolha dos dados da sua íris em troca de uma compensação financeira. Por fim, e ainda no campo dos desafios, não podemos ignorar a complexidade envolvida na revogação ou alteração de passkeys, comparativamente com fazer reset de uma password.
A adoção massiva de metodologias passwordless já arrancou e continuará a aumentar de forma gradual, acompanhando a evolução da própria tecnologia, a adoção por parte das Big Tech e a integração destes métodos de autenticação nas apps que utilizamos diariamente. O interesse das empresas e dos organismos legislativos no melhoramento da segurança online – fazendo com que estas entidades se tornem menos vulneráveis a processos dispendiosos relacionados com roubo de dados ou danos à reputação institucional – fará com que surjam mecanismos de incentivos e legislação específica para acelerar esta adoção, até como pré-condição na disponibilização de novas tecnologias ou serviços. Outros fatores que irão apressar esta transformação passam pela facilidade e transparência de utilização que estes sistemas oferecem, comparados com a complexidade de nos lembrarmos e de digitarmos uma password. Em nome de uma transição suave entre formas de autenticação, já é, aliás, possível fazer com que os sistemas de autenticação passwordless sejam adotados em paralelo com as passwords, permitindo que os utilizadores abracem esta nova tecnologia sem terem de ser forçados a abdicar totalmente das passwords.
Quem poderá recusar a conveniência de desbloquear e tornar utilizável um telemóvel olhando simplesmente para ele? Não consigo prever exatamente quando se dará o “funeral” da password, mas este tipo de conveniência fará com que, ao longo da próxima década, esta seja considerada, cada vez mais, um método de autenticação do passado.