Após uma década de estudos, a FIDO Alliance – entidade empenhada em criar novos padrões de autenticação – publicou um em que apresenta a visão de um futuro onde não será preciso de senhas na navegação online.
Por enquanto, o documento é conceitual (não técnico), mas mostra o esforço da entidade em eliminar a necessidade do gerenciamento de senhas, evitando o comportamento comum das pessoas de usar uma mesma combinação em todas as contas, gerando um sério risco de segurança.
Para resolver esse problema, em 2015, a FIDO começou a publicar um conjunto de diretrizes (mais tarde seguido pela especificação W3C WebAuthn) que geravam mecanismos de autenticação padrões e resistentes a ataques de phishing. Hoje, o WebAuthn é um padrão oficial e aberto na internet, permitindo que usuários façam login em contas online usando chaves biométricas, dispositivos móveis ou chaves de segurança FIDO.
Agora, a entidade quer generalizar esse padrão para todos os serviços e empresas, eliminando de uma vez por todas o uso de senhas pelos usuários.
A visão da FIDO de um mundo sem senhas
O principal conceito sugerido é que os sistemas operacionais (de PCs e smartphones) implementem um gerenciador de “credencial FIDO”. Ele será parecido com um gerenciador de senhas, mas, em vez de senhas, esse mecanismo armazenará chaves criptográficas que podem ser sincronizadas entre dispositivos e serão protegidas pelo bloqueio biométrico, por exemplo.
O grande gargalo nesse conceito está em como facilitar o processo de troca ou adição de novos dispositivos pelo usuário. Caso a configuração de um novo celular seja complicada e não exista uma maneira mais simples de fazer login em aplicativos e serviços, a maioria dos usuários ainda preferirá continuar a usar as senhas.
Como ressaltou a , a FIDO não é a única trabalhando em uma forma de acabar com as senhas. A Apple anunciou recentemente que está desenvolvendo um recurso próprio – parecido com que está sendo proposto pela entidade – e que funcionará no iCloud. O problema de criar uma nova solução não padronizada é que o método de autenticação funciona muito bem se o usuário for trocar um iPhone velho para um novo. Porém, se ele quiser migrar de um iPhone para o Android, por exemplo, o processo não deve ser tão simples assim.
É claro, mesmo que a FIDO encontre uma fórmula mágica, as senhas não desaparecerão da noite para o dia. Primeiro, que nem todo mundo tem um smartphone ou dispositivo conectado. Além disso, as senhas podem acabar servindo de backup, no caso da perda ou roubo de um dispositivo. Sobre o uso geral da autenticação sem senha, a própria entidade também afirma que nem sempre ela poderá atender aos requisitos de segurança mais extremos.