A password não está a desaparecer
No ano passado, havia artigos de notícias a circular na internet que afirmavam que grandes empresas de tecnologia estavam a unir forças para eliminar as passwords. Algumas startups até declararam que as passwords estavam obsoletas e ultrapassadas.
Founder
Introdução
No ano passado, havia artigos de notícias a circular na internet que afirmavam que grandes empresas de tecnologia como a Apple, Google e Microsoft estavam a unir forças para eliminar as passwords. Algumas startups até declararam que as passwords estavam obsoletas e ultrapassadas. Depois de mergulhar no domínio da gestão de identidades durante meses, comecei a questionar a validade e praticabilidade dessas afirmações.
O que faz uma password?
À primeira vista, a resposta parece óbvia: as passwords são usadas para iniciar sessão e verificar identidades. No entanto, tenho uma visão diferente se considerar o facto de que as passwords não podem realmente verificar quem você é:
- Quando um usuário inicia uma sessão num site com um email e uma password, o site não tem como confirmar a pessoa real por trás dessas credenciais. Pode ser um humano ou até um gato.
- Qualquer pessoa pode desbloquear um iPhone com o PIN correto.
Na realidade, o propósito de uma password é provar anonimamente a propriedade de algo: uma conta de usuário, um dispositivo, ou acesso a uma porta.
Os atuais “assassinos de passwords”
As empresas mencionadas anteriormente propuseram várias "soluções" para as passwords. Muitos afirmam ser alternativas mais seguras que eliminam a necessidade dos utilizadores se lembrarem de passwords complexas e estáticas durante a autenticação. No entanto, a maioria dessas alternativas não é inteiramente prática para remover completamente as passwords.
Autenticação FIDO
A autenticação FIDO (Fast Identity Online), como explicado na documentação oficial, utiliza técnicas de criptografia de chave pública para registo e início de sessão (vale a pena notar que WebAuthn é um componente central das especificações FIDO2). À primeira vista, o processo parece atraente:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M180.953%2c35L185.12%2c35C189.286%2c35%2c197.62%2c35%2c205.286%2c35C212.953%2c35%2c219.953%2c35%2c223.453%2c35L226.953%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M458.172%2c35L462.339%2c35C466.505%2c35%2c474.839%2c35%2c482.505%2c35C490.172%2c35%2c497.172%2c35%2c500.672%2c35L504.172%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M700.688%2c35L704.854%2c35C709.021%2c35%2c717.354%2c35%2c725.021%2c35C732.688%2c35%2c739.688%2c35%2c743.188%2c35L746.688%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(94.4765625%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='172.953125' y='-27' x='-86.4765625' style='' class='basic label-container'/%3e%3cg transform='translate(-56.4765625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='112.953125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eIn%c3%adcio do registo%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(344.5625%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='227.21875' y='-27' x='-113.609375' style='' class='basic label-container'/%3e%3cg transform='translate(-83.609375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='167.21875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eAprova%c3%a7%c3%a3o do utilizador%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(604.4296875%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='192.515625' y='-27' x='-96.2578125' style='' class='basic label-container'/%3e%3cg transform='translate(-66.2578125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='132.515625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eNova chave criada%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(814.9296875%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='128.484375' y='-27' x='-64.2421875' style='' class='basic label-container'/%3e%3cg transform='translate(-34.2421875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='68.484375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eCompleto%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Simples, certo? Infelizmente, há um obstáculo significativo no caminho: a compatibilidade. Comparado com a combinação tradicional de "identificador e password", a autenticação FIDO exige:
- Sites ou aplicações para suportar FIDO.
- Navegadores e/ou sistemas operativos para suportar FIDO.
- Dispositivos de utilizadores para terem um mecanismo de verificação amigável ao usuário.
A falha em cumprir qualquer um destes requisitos torna a autenticação FIDO indisponível, forçando a queda para outros métodos.
Além disso, mesmo que todas as condições sejam cumpridas, o que qualifica como um "mecanismo de verificação amigável ao usuário" num dispositivo? Atualmente, pode envolver métodos biométricos como reconhecimento de impressões digitais ou facial, acompanhados por uma opção de fallback como um código PIN, ou seja, uma password. No final, voltamos ao ponto de partida.
Tecnicamente, não é um "assassino de passwords" mas sim um processo de autenticação ou verificação mais seguro e amigável ao usuário, protegido por passwords.
Password de uso único
Embora o nome inclua o termo “password”, as passwords de uso único (OTPs) não são passwords tradicionais porque são dinâmicas. Existem dois tipos populares de OTPs:
- Password de Uso Único baseada em Tempo (TOTP): Gerada algoritmicamente usando o tempo atual como fonte de unicidade. É comumente usada em Autenticação Multi-Fator (MFA) ou 2FA.
- Password de Uso Único por SMS/Email: Gerada no servidor usando algoritmos aleatórios. Em alguns países, tem sido amplamente adotada como método principal de início de sessão.
As TOTPs podem não ser tão reconhecidas pelo nome. Por exemplo, quando um site pede para configurar MFA e usar uma app como Google Authenticator ou Duo para ler um código QR, é provável que esteja a usar TOTP. Também pode ter notado que o site muitas vezes mostra um longo "código de recuperação" e aconselha a guardá-lo, pois só será mostrado uma vez. Alguns sites até incentivam os usuários a imprimi-lo em papel. Essencialmente, este código de recuperação funciona como uma longa password.
Quanto às OTPs por SMS/Email, podem ser caras e pouco fiáveis:
- Construir um serviço de envio de SMS ou email do zero requer instalação.
- Os serviços de envio de email precisam de estabelecer uma "reputação" positiva para melhorar a entregabilidade, caso contrário, o remetente pode ser marcado como spam.
- Cada país tem seus próprios operadores de rede móvel, levando a tempos de entrega imprevisíveis e custos notáveis para o envio de SMS, especialmente para startups.
Biometria
O termo "biometria" refere-se à utilização apenas de métodos biométricos para autenticação online. De facto, há uma diferença fundamental em comparação com outros métodos: a autenticação biométrica muda a tarefa original de "provar a propriedade de algo" para "provar quem você é". Devido a preocupações de privacidade, os métodos biométricos são usados principalmente para autenticação local.
A password não é perfeita, no entanto
Como podemos ver, os "assassinos de passwords" estão essencialmente a esconder passwords ou a usar passwords como opções de fallback. Aqui está um resumo das vantagens das passwords com base na nossa discussão:
- Acessibilidade e compatibilidade: As passwords podem ser usadas em vários sistemas e são acessíveis a uma ampla gama de utilizadores.
- Custo-eficácia e versatilidade: As autenticações baseadas em passwords são geralmente mais eficazes em termos de custos do que outros métodos e adaptáveis a diferentes cenários.
- Anonimato e privacidade: As passwords permitem o uso anónimo e protegem a privacidade do usuário.
Mas cada moeda tem duas faces. Embora as passwords tenham suas vantagens, depender delas apenas para autenticação representa vulnerabilidades significativas. Podem ser desafiadoras para os usuários finais gerirem, e se os donos de sites não seguirem práticas de segurança adequadas, as passwords tornam-se fáceis de comprometer. Práticas de segurança perigosas incluem, mas não se limitam a:
- Permitir passwords fracas ou vazadas.
- Falta de imposição de HTTPS para conexões.
- Uso de algoritmos de hashing inseguros.
- Falha em aderir estritamente a padrões testados em batalha como OAuth ou OpenID Connect (OIDC).
- Expor a base de dados ao público.
Conclusão
Não pretendo minimizar qualquer um dos métodos de autenticação mencionados acima. Pelo contrário, enquanto trabalho na construção do Logto, desenvolvi um respeito profundo por esses notáveis métodos de autenticação e pelas pessoas por trás deles.
No entanto, alcançar 100% de segurança é um objetivo inatingível. O que podemos esforçar-nos é reduzir a possibilidade de ataques. Uma abordagem eficaz é combinar a autenticação baseada em passwords com passwords de uso único baseadas no dispositivo ou ambiente atual, que adiciona uma camada extra de verificação e tem sido amplamente adotada. Ao aproveitar as forças de diferentes técnicas de autenticação, podemos criar uma abordagem em camadas que oferece proteção mais forte.
Em conclusão, em vez de focar em palavras da moda como "assassino de passwords" quando as passwords não estão realmente a ser eliminadas, seria mais valioso concentrar-se em encontrar um equilíbrio entre segurança e experiência do usuário. Isso implica compreender as forças e limitações de vários métodos de autenticação e implementá-los de uma forma que garanta tanto a segurança dos dados do usuário quanto uma experiência do usuário perfeita.