A senha não está morrendo
No ano passado, havia notícias circulando na internet alegando que grandes empresas de tecnologia estavam unindo forças para eliminar senhas. Alguns startups até declararam que as senhas estavam obsoletas e ultrapassadas.
Founder
Introdução
No ano passado, havia notícias circulando na internet alegando que grandes empresas de tecnologia como Apple, Google e Microsoft estavam unindo forças para eliminar senhas. Alguns startups até declararam que as senhas estavam obsoletas e ultrapassadas. Depois de mergulhar no reino da gestão de identidade por meses, comecei a questionar a validade e praticidade dessas alegações.
O que uma senha faz?
À primeira vista, a resposta parece óbvia: senhas são usadas para fazer login e verificar identidades. No entanto, eu tenho um ponto de vista diferente se você considerar o fato de que as senhas não podem realmente verificar quem você é:
- Quando um usuário faz login em um site com um email e senha, o site não tem como confirmar a verdadeira pessoa por trás dessas credenciais. Pode ser um humano ou até mesmo um gato.
- Qualquer um pode desbloquear um iPhone com o PIN correto.
Na realidade, o objetivo de uma senha é provar anonimamente a propriedade de algo: uma conta de usuário, um dispositivo ou acesso a uma porta.
Os atuais “assassinos de senha”
As empresas mencionadas anteriormente propuseram vários "assassinos de senha". Muitos alegam ser alternativas mais seguras que eliminam a necessidade dos usuários se lembrarem de senhas complexas e estáticas durante a autenticação. No entanto, a maioria dessas alternativas não é totalmente prática para a remoção completa de senhas.
Autenticação FIDO
A autenticação FIDO (Fast Identity Online), conforme explicado na documentação oficial, utiliza técnicas de criptografia de chave pública para registro e login (vale ressaltar que WebAuthn é um componente central das especificações FIDO2). À primeira vista, o processo parece atraente:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M169.375%2c35L173.542%2c35C177.708%2c35%2c186.042%2c35%2c193.708%2c35C201.375%2c35%2c208.375%2c35%2c211.875%2c35L215.375%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M437.688%2c35L441.854%2c35C446.021%2c35%2c454.354%2c35%2c462.021%2c35C469.688%2c35%2c476.688%2c35%2c480.188%2c35L483.688%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M687.313%2c35L691.479%2c35C695.646%2c35%2c703.979%2c35%2c711.646%2c35C719.313%2c35%2c726.313%2c35%2c729.813%2c35L733.313%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(88.6875%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='161.375' y='-27' x='-80.6875' style='' class='basic label-container'/%3e%3cg transform='translate(-50.6875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='101.375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eRegistro Inicia%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(328.53125%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='218.3125' y='-27' x='-109.15625' style='' class='basic label-container'/%3e%3cg transform='translate(-79.15625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='158.3125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eAprova%c3%a7%c3%a3o do Usu%c3%a1rio%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(587.5%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='199.625' y='-27' x='-99.8125' style='' class='basic label-container'/%3e%3cg transform='translate(-69.8125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='139.625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eNova Chave Criada%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(801.5546875%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='128.484375' y='-27' x='-64.2421875' style='' class='basic label-container'/%3e%3cg transform='translate(-34.2421875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='68.484375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eCompleto%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Simples, certo? Infelizmente, há um obstáculo significativo no caminho: a compatibilidade. Quando comparada à combinação tradicional de "identificador e senha", a autenticação FIDO requer:
- Sites ou aplicativos para suportar FIDO.
- Navegadores e/ou sistemas operacionais para suportar FIDO.
- Dispositivos do usuário para terem um mecanismo de verificação amigável ao usuário.
A falha em cumprir qualquer um desses requisitos torna a autenticação FIDO indisponível, forçando o uso de outros métodos.
Além disso, mesmo que todas as condições sejam atendidas, o que qualifica como um "mecanismo de verificação amigável ao usuário" em um dispositivo? Atualmente, pode envolver métodos biométricos como reconhecimento de impressão digital ou facial, acompanhados por uma opção de fallback como um código PIN, também conhecido como senha. No fim das contas, voltamos ao ponto inicial.
Tecnicamente, não é um "assassino de senha", mas sim um processo de autenticação ou verificação mais seguro e amigável ao usuário protegido por senhas.
Senha de uso único
Embora o nome inclua o termo “senha”, as senhas de uso único (OTPs) não são senhas tradicionais porque são dinâmicas. Existem dois tipos populares de OTPs:
- Senha de Uso Único Baseada em Tempo (TOTP): Gerada algoritmicamente usando o tempo atual como fonte de unicidade. É comumente usada em Autenticação de múltiplos fatores (MFA) ou 2FA.
- Senha de Uso Único por SMS/Email: Gerada no servidor usando algoritmos aleatórios. Em alguns países, tem sido amplamente adotada como um método de login principal.
As TOTPs podem não ser tão reconhecidas pelo nome. Por exemplo, quando um site pede para você configurar MFA e usar um aplicativo como Google Authenticator ou Duo para escanear um código QR, você provavelmente está usando TOTP. Você também pode ter notado que o site costuma exibir um longo "código de recuperação" e aconselha você a salvá-lo, pois só será mostrado uma vez. Alguns sites até incentivam os usuários a imprimi-lo em papel. Em essência, este código de recuperação funciona como uma senha longa.
Quanto às OTPs de SMS/Email, elas podem ser caras e pouco confiáveis:
- Construir um remetente de SMS ou email do zero requer configuração.
- Os remetentes de email precisam estabelecer uma "reputação" positiva para melhorar a capacidade de entrega, caso contrário, o remetente pode ser marcado como spam.
- Cada país tem suas próprias operadoras de rede móvel, levando a tempos de entrega imprevisíveis e custos notáveis para o envio de SMS, especialmente para startups.
Biometria
O termo "biometria" refere-se ao uso de métodos biométricos apenas para autenticação online. Na verdade, há uma diferença fundamental quando comparado a outros métodos: a autenticação biométrica muda a tarefa original de "provar a propriedade de algo" para "provar quem você é". Devido a preocupações de privacidade, os métodos biométricos são empregados principalmente para autenticação local.
A senha não é perfeita, embora
Como podemos ver, os "assassinos de senha" estão essencialmente escondendo senhas ou usando senhas como opções de fallback. Veja um resumo das vantagens das senhas com base em nossa discussão:
- Acessibilidade e compatibilidade: As senhas podem ser usadas em vários sistemas e são acessíveis a uma ampla variedade de usuários.
- Custo-efetividade e versatilidade: As autenticações baseadas em senha geralmente são mais econômicas do que outros métodos e adaptáveis a diferentes cenários.
- Anonimato e privacidade: As senhas permitem o uso anônimo e protegem a privacidade do usuário.
Mas toda moeda tem dois lados. Embora as senhas tenham suas vantagens, confiar nelas exclusivamente para autenticação apresenta vulnerabilidades significativas. Elas podem ser desafiadoras para os usuários finais gerenciar, e se os proprietários de sites falharem em seguir práticas de segurança adequadas, as senhas se tornam fáceis de comprometer. Práticas de segurança perigosas incluem, mas não estão limitadas a:
- Permitir senhas fracas ou vazadas.
- Falta de aplicação de HTTPS para conexões.
- Uso de algoritmos de hashing inseguros.
- Falha em seguir rigorosamente padrões testados em batalha como OAuth ou OpenID Connect (OIDC).
- Exposição do banco de dados ao público.
Conclusão
Não tenho a intenção de desqualificar nenhum dos métodos de autenticação mencionados acima. Pelo contrário, conforme trabalho na construção do Logto, desenvolvi um profundo respeito por esses notáveis métodos de autenticação e as pessoas por trás deles.
No entanto, alcançar 100% de segurança é uma meta inatingível. O que podemos nos esforçar é para reduzir a possibilidade de ataques. Uma abordagem eficaz é combinar a autenticação baseada em senha com senhas de uso único baseadas no dispositivo ou ambiente atual, que adicionam uma camada extra de verificação e têm sido amplamente adotadas. Ao aproveitar os pontos fortes das diferentes técnicas de autenticação, podemos criar uma abordagem em camadas que proporciona uma proteção mais forte.
Em conclusão, em vez de focar em palavras de ordem como "assassino de senha" quando as senhas não estão realmente sendo eliminadas, seria mais valioso se concentrar em encontrar um equilíbrio entre segurança e experiência do usuário. Isso implica em entender os pontos fortes e limitações de vários métodos de autenticação e implementá-los de uma forma que garanta tanto a segurança dos dados do usuário quanto uma experiência do usuário sem problemas.