É o sonho de milhares de internautas e especialistas em segurança da web: o fim do ultrapassado, abusado e frequentemente violado sistema de autenticação baseado em senhas. A revista Wired publicou (18/1) que o Time de Segurança do Google apresenta ainda este mês uma nova pesquisa, a ser publicada no IEE Security & Privacy Magazine, que apresenta um tipo novo de autenticação por hardware, que gerará uma nova senha a cada operação. Similar aos sistemas já são usados no sistema bancário do Brasil e no mundo, para fazer autenticações eles usam tokens, geradores de números sincronizados com a sua porta USB e com o site do banco.
Por enquanto tudo não passa de um estudo exploratório para um problema que não pode mais ser adiado: o sistema de entrada em sites por senha foi intensa e extensivamente abusado em 2012. Nunca foram registrados tantos casos de arrombamento de depósitos virtuais de dados, como caixas de e-mail, bancos de dados secretos e sites supostamente “seguros”. E a avalanche de e-mails indesejáveis continuou. Nossos legítimos endereços eletrônicos foram violados para todo o tipo de trapaça, armadilha ou coisa do tipo. Muita gente indevida e perigosa tem acesso a nossos dados. Pelo menos aos nossos e-mails.
A pesquisa, escrita pelo vice-presidente de segurança Eric Grosse e pelo engenheiro Mayank Upadhay, descreve a realidade dos limites da autenticação por senha: “Assim como muitos na indústria, nós acreditamos que senhas e cookies já não são suficientes para manter os usuários seguros”, eles dizem no estudo.
Segredos e dados sensíveis
Os experimentos começaram com um cartão minúsculo de criptografia Yubico, que nada mais é do que um “pedaço de plástico com conectores USB de um lado, e um botão sensível ao toque, no outro. Cada vez que você toca o botão ele envia uma senha estática e uma dinamicamente gerada (criada no momento para aquela única vez) para qualquer aplicativo ligado àquela entrada”. A explicação é da PCMag (20/4/2009). É o mesmo princípio dos tokens de banco, onde a segurança é obtida em várias camadas: continuam as senhas, mas agora, para as operações mais sensíveis, entra em ação o dispositivo que nada mais é que um gerador de números sincronizado com sua porta USB e o banco. O processo de autenticação é muito mais seguro do que a senha simples, ou mesmo a senha dupla.
Esta última impede que outra pessoa conecte sua conta Gmail ou qualquer conta do Google de outro computador que não o seu (ou seus). Se isso acontecer, você só terá acesso a sua conta depois que o Google lhe enviar, via SMS, uma senha de uso único. A Microsoft, em seu Hotmail, também recomenda o uso de uma senha temporária enviada por mensagem de texto em computadores ou dispositivos móveis que não sejam seus. A partir deste ponto, o texto da Wired parece muito mais dirigido a propaganda da segunda autenticação do que avançar alguma inovação importante e já disponível para a segurança do usuário. Que, em concreto, ainda na existe.
O sistema da senha dupla não é perfeito, registra a Wired, mas é o melhor que temos agora. Tem desvantagens. O uso dos tokens geradores de números também. Um hacker pode simular qualquer ambiente do Google convincente a ponto de ele perguntar e receber a sua senha. O sistema centrado nos dispositivos geradores de números é superior, mas também não consegue conter a prática do phishing, em que muitos de nós já caímos. E o que é phishing”, afinal? Phishing é um vocábulo do inglês derivado de fishing. Quer dizer pescaria. O “pescador” – que quer os dados dos usuários – joga sua linha, sempre através de algum documento aparentemente oficial, e tenta fazer com que o usuário livremente revele seus segredos e dados mais sensíveis. Ele pensa estar em ambiente oficial de sua confiança. Mas na realidade foi parar numa cópia perfeita do site que ele pretendia acessar.
“Sequestro-relâmpago”
O estudo o Google propõe, para o futuro, alternativas como smartphones de usuários, ou qualquer objeto de uso pessoal decorativo, com anéis, pulseiras e joalheria, que podem abrigar microchaves geradoras de números sincronizados aos seus aparelhos. Basta um toque de um de seus deles em qualquer um de seus aparelhos para fazer a autenticação. Você só vai precisar clicar com seu mouse para completar o processo de autenticação.
O sistema ainda depende de muita normatização e uniformização por parte da web. Todos os navegadores e plataformas devem ser programados para trabalhar com o novo processo de autenticação. E ele tem ainda outro grande problema, de que pouco se fala: se o seu acesso à web ficar um dia totalmente condicionado a algum objeto fora dela, a posse deste é que vai garantir o acesso a seus dados. Não você ou o site com que você pretende acessar. Por isso, a guarda do aparelho será de extrema importância.
Ao mesmo tempo, se você levá-lo consigo – numa viagem, por exemplo – a presença dele sempre ao seu lado poderá trazer alguns problemas. Suponhamos que ele seja perdido, e que caia na mão de bandidos. O que acontece? Ocorreu-me a ideia de um “sequestro-relâmpago” em que os criminosos capturam você e seu token, o seu gerador de senhas. O que acontecerá? Você vai negar sua senha aos criminosos depois que eles tiverem usado a senha do gerador que você deu a eles sob ameaça à sua vida?
Autenticação externa e senhas internas
O estudo do Google sobre novos processos de autenticação é de suma importância. Mas a segurança completa em ambiente da web é um sonho ainda muito distante. A rede foi criada numa linguagem que facilita as fraudes. Ela foi escrita num código muito simples com o nobre fim de um grande número de pessoas poderem dominá-lo, e fazer da experiência online uma troca entre iguais. Teoricamente, todos deveriam saber um pouco da linguagem das páginas da web. O resultado foi que muita gente aprendeu e os resultados foram imprevistos pela geração libertária de Tim Berners-Lee.
A geração de Berners-Lee, generosa e libertária, vai sendo pouco a pouco substituída por sátrapas que pretendem governar sobre extensas áreas da web. Que querem usar e abusar de nossos dados. Lembre-se que, na curta história da web, a partilha e a colaboração foram substituídas por ganância e competição desleal. O igualitarismo dos primeiros tempos foi abandonado em nome da venda de serviços e produtos aos usuários.
Infelizmente, a ecologia da web desaguou numa deplorável cena de negócios, onde sua segurança importa na medida em que o usuário das megaplataformas é um produto que traz lucro a elas. O ponto forte da web, seu código fácil, é ao mesmo tempo seu grande ponto fraco. Permite grandes criações. E grandes invasões. Mesmo os mais avançados sistemas de autenticação, como proposto pelo Google, não vão se ver livres das senhas. Vão ser uma mistura dos dois: autenticação externa e senhas internas. Em termos de segurança, redundância é a regra. Infelizmente chegamos a este ponto: cada vez que a segurança corporativa das firmas da web aumenta, mais dados somos obrigados a entregar a elas para conferência e autenticações.
O lema dos punks
Por isso, caro(a) leitor(a), não entregue a sua segurança completamente as mãos dos especialistas: use tudo o que tiver. As instruções dos especialistas são necessárias, mas não se esqueça de empregar as que já nasceram com a web. Sua transparência inocente esconde uma arma a seu favor: você pode aprender bastante sobre segurança na web (e de fato você já sabe, só não está pondo em prática). Desconfie sempre. Verifique duas ou mais vezes. E para evitar as “pescarias de seus dados”, lembrem-se: qualquer imitação de site, por mais perfeita que seja, é apenas um simulacro. Verifique seus links. Se ele parecer oficial o bastante, fique atento e suavemente passe o mouse sobre o endereço que você suspeita. Na barra de estado, embaixo, aparecerá o endereço do site malfeitor. A partir dele, você vai saber que não está onde pensa estar. Dê o fora imediatamente.
Este foi só um exemplo de como se comportar diante de um ataque de phishing. Na guerra pelos seus dados (e é e isso que tudo se resume) não deixe sua segurança em mãos de terceiros. Aprenda com outros, consigo mesmo. Lembre o lema dos punks: faça você mesmo. Ou, pelo menos, não deixe de fazer a sua parte. Não acredite completamente em sua segurança na web só porque alguma megacompanhia afirmou que você está completamente seguro.
***
[Sergio da Motta e Albuquerque é mestre em Planejamento urbano, consultor e tradutor]