Senhas são daquelas coisas que cansam de fazer na Internet. Combinações imensas, que devem ter números, letras — algumas em minúsculas, outras em maiúsculas —, caracteres especiais, e que não podem ser repetidas a cada vez que se redefine. A complexidade gera senhas de e-mail como M!ri@de9%, às vezes impossíveis de memorizar. E que, por fim, nem são tão seguras assim. Basta ser um bom hacker e pronto. Já foi.

A raiva das senhas motivou a empresa de segurança MobileIron, na vanguarda da categoria, a modificar os seus padrões de autenticação  para permitir que os seus especialistas de TI não usem senhas. Algo que seria considerado uma loucura há anos.

Como funciona

Basicamente, a MobileIron desenhou sua nova linha de produtos para basear a segurança em aparelhos móveis. Isso, baseado em hardwares modernos aliados a outros sinais. O processo não é uma ideia tão radicalmente nova como parece: a Apple aboliu senhas com a confirmação biométrica por meio das impressões digitais ou leitura facial.

A empresa quer levar o conceito de mobilidade a seu extremo, baseando-se em um parâmetro biométrico e em um aparelho móvel. Assim, qualquer funcionário de uma mesma empresa pode entrar remotamente em qualquer espaço, site ou intranet, sem o uso de senhas. Isso poderia ser feito com biometria ou leitura facial.

Hoje existem softwares de gerenciamento de senhas como LastPass e 1Password, mas ainda usam as senhas como forma de legitimidade, padrão que a empresa quer quebrar. Muitos ainda não usam estes softwares, o que faz com que escolham senhas simples, para lembrarem-se delas, o que as torna fracas e vulneráveis. Como há empresas que atribuem senhas em cascata, ou seja, num sistema em que a descodificação de apenas uma password leva ao acesso a muitas outras, os restantes serviços são vulneráveis também.

Há também o 2FA, chamado de Segundo Fator de Autenticação, que é uma pass baseada em dois tipos de verificação. Por exemplo, além do código escrito, é necessário a posse do dispositivo cadastrado. Nesta ainda há suas falhas: a confirmação é por sms, o que enfraquece a segurança.

O produto

O Fast Identity Online (FIDO Alliance) é um grupo que pretende abolir as passwords. Nele estão incluídas companhias-chave das telecomunicações, software e do setor financeiro, inclusive American Express, Amazon, Google, Facebook e Microsoft. O sistema usa um algoritmo matemático que ajuda a oferecer chaves pareadas, privadas ou públicas, às vezes com token. Em um primeiro acesso, a identidade é verificada de múltiplas formas, incluindo código escrito ou numeral. Em seguida, o visitante coloca a chave gerada pelo sistema U2F (Universal Two-Factor), uma atualização do 2FA, provando a sua identidade.

O grupo quer, no entanto, melhorar todo o sistema. O novo produto — FIDO2 — atualiza esse processo para fazer a mesma coisa sem as senhas, com base nos dispositivos que permitem identidade criptografada e reconhecimento biométrico.