Por Ricardo Villadiego*
Mais da metade dos adultos profissionalmente ativos hoje conheceram a Internet e os telefones celulares ainda jovens, e, agora, quase todos os aspectos da nossa vida acontecem online. O surgimento dos smartphones, que todas as pessoas de todas as gerações já carregam no bolso ou na bolsa, causou uma ruptura no varejo e nas compras online.
Importantes nomes do varejo estão desaparecendo rapidamente (The Limited, Toys R Us, Circuit City, só para citar alguns), e até os shoppings centers estão ameaçados. Especialistas em varejo acreditam que a inteligência artificial terá uma importância fundamental nesse contexto, já que não será mais preciso ir fisicamente a uma loja para realizar uma compra. Vamos poder olhar, experimentar e tocar produtos (e até falar ao vivo com um especialista no artigo) sem precisar visitar uma loja física. Toda essa atividade comercial executada com uma passada de dedo ou um toque na tela acaba obrigando as organizações a pensarem sobre como a autenticação da identidade do usuário deve evoluir.
Um usuário de internet hoje tem que memorizar, em média, senhas para 92 contas. O resultado é que acaba usando a mesma senha para várias plataformas.
Adeus, velhas práticas
A primeira linha de defesa para a maioria das instituições financeiras e empresas de comércio eletrônico é o combo nome de usuário/senha. No entanto, a senha nunca teve o objetivo de ser a base de uma estratégia robusta de segurança cibernética; ela foi criada mais como um pequeno empecilho ao acesso a dados confidenciais. Há muito tempo os cibercriminosos descobriram maneiras de decifrar senhas, contorná-las ou enganar as pessoas para que forneçam seus dados de acesso, em uma prática conhecida como engenharia social, que é o método da moda para obter credenciais dos usuários ilicitamente.
Essas não são as únicas desvantagens das senhas. O fato de elas serem onipresentes também é um problema. Elas são tão amplamente utilizadas na proteção de contas e serviços virtuais, que um usuário de internet hoje tem que memorizar, em média, senhas para 92 contas. O resultado é que o usuário acaba usando a mesma senha para várias plataformas. Isso significa que, se um invasor descobrir a senha para uma das contas, pode colocar as mãos nos dados de acesso de internet banking da vítima.
Para ser justo, tem havido esforços para melhorar a senha tradicional e aumentar a proteção contra engenharia social e outros ataques. No passado, por exemplo, algumas instituições financeiras forneciam tokens físicos para os clientes que geravam números aleatórios usados para verificar transações. Mas esses keyfobs, como eram conhecidos, foram frequentemente comprometidos em ataques de phishing em larga escala: os cibercriminosos interceptaram os números gerados e capturaram senhas de acesso. Também era caro reemitir os tokens sempre que esses pequenos dispositivos fossem danificados, perdidos ou roubados.
As senhas de uso único (OTPs) entregues por SMS eliminaram a necessidade de distribuir tokens físicos, já que utilizam o onipresente celular. Infelizmente, os sistemas de comunicação usados para transmitir mensagens SMS não são criptografados e podem ser facilmente interceptados, tornando-os tão (in)seguros quanto as senhas tradicionais. Em 2016, o Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA recomendou que as empresas buscassem um método alternativo de autenticação de usuários que fosse mais confiável.
Nenhuma tecnologia sozinha tem como assegurar completamente as transações online. O fundamental é estar um passo à frente dos cibercriminosos.
Bancos e empresas precisam agir e ir além dos métodos de segurança que os atacantes há muito aprenderam a contornar. A fraqueza inerente à senha apoiada por códigos OTPs enviados por SMS nos mostra que fatores de autenticação mais novos e seguros são necessários para manter a confiança do consumidor em compras ou transações bancárias online. Felizmente, o futuro da autenticação já chegou.
Viva o novo
- Acesso sem senha: Os fatores de autenticação evoluíram para aproveitar os mecanismos de autenticação de usuários oferecidos em smartphones e tablets. Embora os usuários tenham vários dispositivos, eles geralmente usam o mesmo aparelho para realizar determinadas tarefas. Empresas que pensam no futuro reconhecem essa tendência e estão otimizando seus processos de login de acordo com ela. Usando um dispositivo conhecido – neste caso, um telefone celular – os usuários podem acessar uma plataforma simplesmente lendo o código com a câmera do telefone, evitando a necessidade de inserir a senha. Além de proporcionar uma experiência de usuário aprimorada, isso pode reduzir a chance de sucesso dos ataques de phishing. As senhas se tornam menos relevantes para a autenticação, os phishers deixam de se beneficiar significativamente da obtenção de credenciais do usuário final.
- Biometria forte e sem fricção: As instituições financeiras também estão aproveitando a tecnologia de reconhecimento biométrico de maneiras inovadoras. A biometria pode ser usada para analisar características físicas exclusivas do usuário final para confirmar se ele é quem diz ser. O processo é altamente seguro, mas não excessivamente invasivo, proporcionando um equilíbrio entre segurança e facilidade de uso. Ele aproveita as próprias tecnologias do smartphone, como leitor de impressão digital, gravador de voz ou câmera, para permitir que o usuário confirme sua identidade de maneira conveniente, seja por impressão digital, tecnologia de reconhecimento de voz ou facial. A melhor parte é que, como os clientes já usam esses recursos cotidianamente em seus celulares, eles já se sentem à vontade com essas ferramentas (por exemplo, tirar uma selfie, falar ao telefone ou tocar na tela).
- Identificação de Geolocalização: A geolocalização também usa o dispositivo móvel do usuário para fornecer serviços de autenticação onde e quando forem necessários. Se um cliente faz uma compra em uma grande loja e seu banco precisa autenticá-la, uma opção é a instituição enviar uma mensagem push para autorizar a transação. Alternativamente, a geolocalização permite que o banco acesse a localização do cliente por meio de seu telefone celular, verificando se o usuário está no mesmo local físico em que a transação está sendo solicitada. Nesse caso, não há necessidade de o cliente responder a uma notificação, criando uma experiência de autenticação mais transparente e sem atrito.
Embora todos esses métodos de autenticação funcionem para confirmar com segurança que uma transação é legítima, nenhuma tecnologia sozinha tem como assegurar completamente as transações financeiras online. O fundamental é estar um passo à frente dos cibercriminosos e manter uma experiência de cliente de baixa fricção. As senhas não fazem nenhuma dessas duas coisas. É hora de aumentar o nível e abraçar o que há de mais avançado em autenticação multifatorial forte.
Ricardo Villadiego
É CEO da Easy Solutions, empresa especializada na prevenção de fraudes eletrônicas em todos os dispositivos, canais e serviços na nuvem, que pertence a Cyxtera Business