Por Marcelo Tavares de Santana[1]
Parece que em alguns momentos vemos comprovado que a sociedade precisa cada vez mais de um equilíbrio entre sociedade civil, academia, empresas, governo, movimentos sociais e organizações não governamentais (só a primeira foi colocada fora da ordem alfabética). O recente anúncio de que o Google promoverá a substituição do acesso por senha pelas chaves de acesso, também conhecidas como passkeys, aciona nosso alerta de segurança principalmente pelos textos bem escritos e belos vídeos que formam uma publicidade sedutora e equivocada; e nesse caso é sempre bom estar num ambiente em que existe liberdade para uma fiscalização mútua entre todas as partes.
Passkeys são sequências extensas de caracteres criadas por algoritmos criptográficos em duas partes, uma privada e uma pública. Essas sequências são guardadas em arquivos e assim as chamamos de chave privada e chave pública – sobre criptografia assimétrica veja aqui. O arquivo de chave pública pode ter centenas de caracteres e é copiado nos equipamentos do serviço que precisamos nos autenticar. O arquivo de chave privada pode ter milhares de caracteres e deve ficar em algum dispositivo sob nossa guarda. Assim, descobrir uma chave privada é o como tentar descobrir uma senha de 300 palavras.
Computacionalmente falando, as passkeys são muitas vezes mais fortes que senhas, porém a problemática do controle de acesso não pode ser resumida à questão computacional, pois pessoas e seus contextos sociais fazem parte do ambiente onde os sistemas de autenticação estão inseridos. Em locais com bons índices de escolarização, baixa criminalidade e serviços eficientes de atendimento ao consumidor, pode-se pensar em parar de usar senhas, mas é temerário mudar para passkeys fora de um contexto como esse.
O primeiro grande problema que percebemos no discurso das passkeys é a ideia de que senhas são difíceis de lembrar, dado que estamos imersos numa cultura onde aprendemos a fazer senhas do jeito errado, e com pouquíssimos mostrando como criar senhas corretamente. Começar com quatro palavras de uma história hipotética é um bom início, só não usem a senha “cavalo verde marciano come abacaxi” porque esse exemplo é dado em sala de aula e dezenas de pessoas já conhecem; além de sempre ter alguém que a lembra na aula da semana seguinte após falar sobre a ideia de um cavalo de marte, por isso verde, que vem à Terra para comer abacaxi por gostar muito. O aspecto mais preocupante desse tipo de discurso é a retirada do usuário do processo de segurança e a concentração desse processo nas mãos de terceiros ou de dispositivos que podem ser facilmente roubados. O desbloqueio biométrico é outro ponto de preocupação quando pensamos que pode ser usado conosco desacordados em ambientes fechados, seja por impressão digital ou rosto – estude mais aqui , aqui e aqui. Faço uso de biometria no smartphone para pagar com conta de crédito por aproximação, mas é um cenário de ambiente público, onde o atendente vai digitar um valor num outro equipamento, tem pessoas na fila, por perto, e a transação e o desbloqueio do smartphone só vão ocorrer num curto período, em segundos.
Outra grande preocupação é a difusão da ideia de que os serviços digitais guardam as senhas dos usuários. Apesar de possível, qualquer organização que contrate um profissional para fazer seus sistemas não vai armazenar as senhas dos usuários em seus banco de dados, vão utilizar técnicas matemáticas e criptográficas para checar se o usuário está fornecendo a senha correta de modo seguro. Do outro lado, as chaves de acesso podem ser copiadas entre dispositivos e isso é uma grande desvantagem enquanto não existir uma tecnologia que copie senhas de nossos cérebros. Usar chaves de acesso também exige um acompanhamento contínuo de localização de dispositivo, seria necessário nunca emprestar nossos smartphones mesmo em caso de emergências. É preciso um ambiente controlado para armazenar chaves de acesso ou chaves criptográficas, preferencialmente equipamentos criptografados que fiquem a maior parte do tempo numa sala de acesso controlado; nesse caso podemos até nos dar o conforto de não colocar senha em algumas situações, sendo altamente recomendável o uso de um gerenciador de senhas integrado ao navegador. Em outras palavras, o ambiente controlado precisa de senha forte.
Num cenário que tirem a possibilidade de senhas precisaremos de alguns cuidados que já devem ser parte de nossos hábitos:
- ter um e-mail exclusivo para recuperação de acesso das outras contas de e-mail, que nunca poderá ser usado em cadastros de outros sistemas;
- revisar com frequência os dispositivos que estão autorizadas a acessar sua conta no e-mail, os aplicativos de mensagens etc;
- usar programa gerenciar de senha e fazer backup do arquivo de senhas em pelo menos três lugares;
- ter um smartphone reserva autorizado nas contas principais para inclusive bloquear um que possa ter sido extraviado – normalmente o antigo serve para essa função;
- sempre que possível, nomear as passkeys como um nome que lembre o dispositivo que foi autorizado para a conta de usuário;
- usar sempre que possível dispositivos criptografados.
O último item é provavelmente um desafio maior que os outros, mesmo porque não temos acesso fácil a smartphones cujo processo de criptografia esteja sob nosso controle, e por isso é importante ter um computador criptografado e backup remoto também criptografado, como base de autenticação para recuperação de contas. Diferente do que vemos na publicidade das passkeys, elas podem ser roubadas se levarem o dispositivo onde estão instaladas.
Enquanto não sabemos como será o estímulo ao uso das passkeys daqui em diante, seguem sugestões de ações para nos prepararmos para qualquer mudança:
- Semana 1: revise em todos os serviços que utilize a autorização por dispositivos e retire os antigos que não usa mais;
- Semana 2: atualize um smartphone antigo o máximo que puder e deixe instalado somente alguns serviços essenciais, como banco e conta de e-mail de recuperação;
- Semana 3: revise seu procedimento de backups do arquivo do gerenciador de senhas;
- Semana 4: revise a autenticação multifatorial nas contas de usuários que possui e use um e-mail específico para recuperação de contas (crie um ser for necessário).
Se observar alguma senha curta, aproveite e troque por alguma maior e mais forte.
Boa revisão a todos!
[1] Professor de Ensino Básico, Técnico e Tecnológico do Instituto Federal de São Paulo