Em segurança da informação é comum ouvirmos falar na tríade da segurança composta pelos aspectos da confidencialidade, integridade e disponibilidade, contudo, temos outra tríada importante e nem tão conhecida que envolve os aspectos da segurança, funcionalidade e usabilidade.
Como se pode observar na representação do triângulo, existe uma interdependência entre estes aspectos. À medida que tornamos um sistema mais seguro, dificultamos seu uso e perdemos em termos de funcionalidade. Ou seja, em teoria, um sistema perfeitamente seguro seria tão difícil de usar ou com tão poucas funcionalidades que se tornaria inútil.
Na contramão deste processo observamos o crescimento da Autenticação sem Senha ou Passwordless Authentication, com a finalidade de proporcionar, simultaneamente, maior segurança e usabilidade (facilidade de uso). Mas o quanto disso é verdade?
Em primeiro lugar, precisamos perceber que a proteção de dados por senhas já não é mais suficiente. Segundo relatório da Verizon, estima-se que aproximadamente 81% dos incidentes com comprometimento de dados ocorrem em razão de senhas fracas ou roubadas.
Somado a este cenário, em enquete realizada pelo Google / Harris Poll, aponta que 52% dos respondentes utilizam a mesma senha em vários serviços e 13% utiliza a mesma senha em todas as suas contas.
Na autenticação sem senha a verificação das credenciais não depende do segredo de algo que usuário sabe (a senha), mas sim de algo que o identifica de forma única (posse).
A autenticação sem senha anda de mãos dadas com outro conceito, denominado autenticação de dois fatores (two factor authentication - 2FA) que utiliza, por exemplo, uma segunda senha de uso único ou "link mágico" enviado por e-mail, SMS, por meio de aplicativos instalados no celular, biometria (iris, digital, face etc.) ou ainda tokens UF2/FIDO.
Alguns benefícios no uso da autenticação sem senha incluem:
- melhor experiência do usuário;
- simplificação na gestão de senhas pela área de TI;
- menor exposição a ataques de força bruta, phishing, keylogging ou roubo de credenciais;
Mas finalmente respondendo a pergunta... É seguro utilizar Autenticação sem Senha?
Bem, isso depende principalmente do método utilizado. Entre os mais fracos estão os links mágicos ou códigos de uso único enviados por e-mail. Isso porque a segurança estará diretamente relacionada a segurança do e-mail que pode utilizar para autenticação a forma convencional de usuário e senha. Em terceiro lugar eu elegeria o SMS. Apesar de estar sujeito a ataques de SIM Swap ou interceptação, é bem mais seguro do que o e-mail, e a mensagem é entregue diretamente para algo que o usuário de fato tem a posse física, no caso, o celular.
No segundo lugar os aplicativos de autenticação no celular. Esse método resolve o problema do SIM Swap, mas normalmente requer que você armazene de forma segura, geralmente de forma impressa, códigos de backup para o caso de perda do aparelho. Ainda assim gosto bastante desta abordagem. No topo da lista e primeiro lugar estão os tokens UF2/FIDO. Estes dispositivos podem combinar múltiplos fatores de autenticação, como biometria da digital, e utiliza técnicas avançadas de criptografia assimétrica.
Os maiores problemas na autenticação sem senha, como já mencionado, são os custos elevados dependendo da solução, não protege contra ataques de SIM Swap, pode ser um problema para o usuário no caso da perda do dispositivo (celular ou token) e a biometria não é a prova de falhas. Apesar de tudo, é um controle de segurança que vale à pena. O Google, por exemplo, iniciou no ano passado a adoção de 2FA para seus usuários e já reduziu em 50% o comprometimento de contas entre os usuários que adotaram.