Em breve, você não precisará inserir senhas se usar um dispositivo Android 7. Isso é seguro?
Na segunda-feira, o Google anunciou que muito em breve, praticamente todos os dispositivos que executam o Android 7 e os mais novos serão certificados pela FIDO. Isto, como você descobrirá em um minuto, é uma notícia massiva, mas nós apreciamos que no momento, alguns de vocês podem estar um pouco confusos, e é por isso que devemos provavelmente explicar o que é o FIDO e por quê. é tão importante.
Índice
FIDO e o problema da senha?
FIDO significa Fast Identity Online, e é um protocolo de autenticação desenvolvido por um consórcio de algumas das maiores empresas de tecnologia do mundo. A ideia é tornar a autenticação mais fácil e mais segura. A melhor maneira de entender como isso vai ser feito é compará-lo com o que temos no momento - o sistema de nome de usuário e senha.
O procedimento padrão quando você se inscreve em um serviço online é bastante simples. Após o registro, você cria um conjunto de credenciais de login que o provedor de serviços recebe e armazena. Quando você tenta fazer login na sua conta, você insere seu nome de usuário e senha, o provedor de serviços compara-os com o que tem em arquivo, e se houver uma correspondência, você é permitido entrar. Há uma série de problemas fundamentais com este mecanismo.
Como o seu nome de usuário está publicamente disponível e muitas vezes coincide com o seu e-mail, a segurança da sua conta é mais ou menos dependente da sua senha que, como todos sabemos, pode ser ( e em muitos casos é ) fraca. Ele também pode ser ( e em muitos casos é ) reutilizado ou phishing , e nem sequer mencionamos a maneira como a senha é retransmitida entre o cliente e o servidor ou o modo como os provedores de serviços o armazenam . As pessoas que projetam o FIDO perceberam que a única maneira de lidar com todos esses problemas é eliminar completamente a senha.
Como funciona o FIDO?
A FIDO faz uso de criptografia pública - uma abordagem completamente diferente. Durante o processo de inscrição, o seu dispositivo FIDO cria um par de chaves criptográficas - uma pública que é enviada para o provedor de serviços e uma privada que permanece no dispositivo. O provedor de serviços envia um desafio e seu dispositivo usa sua chave privada para assiná-lo. O desafio assinado é enviado de volta ao provedor que usa sua chave pública para descriptografá-lo e confirmar que realmente é você do outro lado da linha.
É um processo um pouco complicado, especialmente se você não estiver familiarizado com o funcionamento da criptografia, mas o resultado simples é que, se os hackers quiserem assumir sua conta, precisarão das duas chaves criptográficas - a pública e a privada.. Como eles são armazenados em dois locais diferentes, roubá-los é extremamente difícil, adivinhá-los é basicamente impossível, e o design do protocolo torna a imposição de prestadores de serviços muito difícil, o que significa que ataques regulares de phishing também não funcionarão.
A implementação do FIDO em um serviço online é tão simples quanto ativar uma API, o que significa que sua privacidade depende menos do que o provedor faz (ou não). Mais importante, pela primeira vez em muito tempo, temos o que parece ser uma alternativa viável para a senha difícil de lembrar.
Onde o Android entra?
O Google está lançando uma atualização para o componente do Google Play Services para dispositivos Android executando a versão 7.0 ou mais recente. Quando os usuários conseguirem, eles poderão usar seus telefones celulares como dispositivos FIDO.
O que isso significa é que o login em aplicativos e serviços que suportam a autenticação FIDO exigirá nada mais do que usar o scanner de impressão digital do dispositivo ou digitar um PIN ou um padrão de furto. Você não precisará inserir senhas para esses aplicativos e sites.
Isso é uma boa notícia?
Sim. Estamos tão acostumados a proteger nossos dados com senhas que a ideia de aboli-las tende a deixar algumas pessoas um pouco apreensivas, mas como já estabelecemos, o uso de chaves criptográficas em vez de uma senha memorizada é uma solução muito melhor em termos de conveniência e segurança. Você ainda precisará usar um dos mecanismos de autenticação do seu dispositivo para se identificar, mas tudo isso acontece localmente, o que dificulta muito o possível ataque. Temos certeza de que qualquer pessoa que já tenha digitado uma senha longa e complexa em um pequeno teclado na tela também receberá a mudança.
Onde está a captura?
O envolvimento de tantos gigantes líderes da tecnologia significa que o design da FIDO provavelmente foi cuidadosamente pensado, mas não devemos nos deixar levar. Algum tempo atrás, usando o nome do seu cão como sua senha era boa o suficiente, enquanto agora, não é. Da mesma maneira, a paisagem provavelmente evoluirá, e quanto maior o número de serviços que adotam o FIDO, maior o número de pessoas que tentarão atacá-lo. Falando em adoção, ainda é relativamente baixo.
Muitos serviços implementaram tokens baseados em FIDO como uma das opções para TwoFator Authentication (2FA), mas poucos permitem que você use o protocolo como um método de login primário. O fato é que, ainda é relativamente novo, e as pessoas não entendem muito bem como podem se beneficiar dele. Existe outro problema.
De acordo com a Wired , cerca de 1 bilhão de dispositivos Android se tornarão certificados pela FIDO, o que aproximará o protocolo de algumas pessoas, mas quando você pensa em quantos mais telefones e tablets são executados em versões mais antigas do sistema operacional móvel do Google, Vou ver que isso está longe de ser suficiente. Se as pessoas começarem a usar o FIDO, o protocolo deve ter suporte em qualquer coisa, desde smartwatches até PCs desktop, e os fornecedores também devem pensar no que farão com as montanhas de dispositivos da Internet of Things que saem das linhas de produção em todo o mundo. a um ritmo verdadeiramente espantoso. Em outras palavras, o FIDO deve se tornar tão onipresente quanto a senha. E é improvável que isso aconteça em breve.
As senhas estão aqui para ficar e você deve aprender a tratá-las com respeito. Clique aqui para saber como o nosso Cyclonis Password Manager pode ajudá-lo a fazer isso.