Quando a maior empresa de software do mundo decide apoiar uma nova abordagem tecnológica, é hora de prestar atenção. A Microsoft descreveu as senhas como “inconvenientes, inseguras e caras” e agora avança rapidamente para a consolidação de novos métodos de autenticação. A era da autenticação sem senha finalmente chegou.

De fato, nossas vidas online giram em torno de senhas. Elas são a porta de entrada para as nossas redes sociais, e-mails, Netflix, para fazer compras em sites de comércio eletrônico, verificar saldo bancário e realizar o pagamento de contas e outros serviços digitais. Atualmente, acessamos com segurança nossos objetos de valor na Internet por meio de combinações aleatórias de letras, números e caracteres especiais. 

Pelo menos, deveria ser assim.

Desde setembro de 2021, os usuários da Microsoft não precisam mais depender de senhas ao fazer login em suas contas. Isso porque foi observado que os usuários poderiam usar seu aplicativo autenticador, a exemplo do Windows Hello, uma chave de segurança física ou um código de verificação enviado por mensagem de texto baseada em SMS para entrar em soluções como o Outlook, OneDrive e outros serviços da Microsoft. 

Com essa mudança, a autenticação sem senha está se tornando popular e uma tendência entre outros fornecedores de soluções de tecnologia. 

Mas o que há de errado com a senha?

Parte do problema está relacionado ao próprio uso de senhas. Diariamente os usuários precisam lembrar de um grande número de senhas. Isso quando ele adota boas práticas de segurança e define um valor diferente para cada conta.

De acordo com pesquisa feita pela Tech.co, os usuários digitais gerenciaram uma média de 100 senhas cada em 2020. Isso representa um aumento de 25% em relação aos 70-80 códigos de acesso que eles acompanhavam em 2019. Esse aumento pode refletir a dependência dos usuários de serviços digitais em resposta aos eventos de 2020.

Se os usuários precisam se lembrar de tantas senhas, eles querem simplificar ao máximo para si mesmos, o que prejudica muitas vezes a segurança. Uma pesquisa da Specops Software descobriu que 29,03% disseram que não usaram mais de uma senha para suas contas, o que significa que reutilizaram o mesmo password em toda a sua presença digital. 

A pesquisa mostra ainda que apenas 22,58% dos usuários afirmaram usar códigos de acesso completamente diferentes uns dos outros. O restante revelou adotar pequenas variações da mesma senha para suas contas.

Mas isso é só um dos problemas relacionados ao uso de senhas.

A eliminação de senhas pode ajudar a prevenir os ataques de ransomware

Na etapa inicial de um ataque de ransomware, os invasores investigam os sistemas da mesma forma que um assaltante investigaria uma casa ou empresa. A principal diferença é que essas operações são feitas em grande escala. Os adversários usam uma ampla gama de recursos para vasculhar a internet e encontrar pontos fracos na rede de uma empresa.

A vulnerabilidade mais comum que os invasores exploram é a senha. Depois de escanear a rede e encontrar portas de rede que são comumente usadas por várias ferramentas de acesso remoto, os adversários tentam um ataque de força bruta. Esses ataques são altamente automatizados e usam ferramentas que tentam fazer login com milhões de senhas comuns até encontrar uma que funcione.

Uma vez que o invasor encontra uma senha certa, ele mesmo a usa para obter acesso e iniciar o segundo estágio do ataque ou, mais comumente, vender o acesso à rede comprometida para outros invasores na dark web ou até mesmo em fóruns da web aberta.

De que forma a eliminação de senhas pode ajudar a prevenir o ransomware?

Existem algumas estratégias para a mitigação de ataques ransomware que as empresas podem empregar. No topo da lista está a implementação de autenticação multifator (MFA) ou autenticação de dois fatores (2FA), especialmente para sistemas que fornecem acesso remoto a sistemas de TI.

A principal estratégia é a MFA sem senha. Ela remove o uso de senha inteiramente da transação de autenticação e não depende de outros fatores considerados fracos no processo de autenticação.

Dado o cenário de ameaças de ransomware aprimorado de hoje, confiar apenas em senhas é imprudente. Adicionar um fator extra, como um token, para habilitar a autenticação multifator (MFA) é no mínimo uma boa prática, mas a prática principal é migrar para a autenticação sem senha.

Bill Gates previu o fim das senhas há quase 15 anos

Isso ocorreu enquanto ele falava na RSA Security Conference em São Francisco, afirmando que as senhas não podem “enfrentar o desafio” de manter informações críticas seguras. Desde então, muitas empresas prestaram atenção às palavras do fundador da Microsoft e desenvolveram outras formas de executar a autenticação online.

De fato, é difícil não concluir que os sistemas de senha em breve ficarão obsoletos. Na prática, muitas soluções ainda estão sendo desenvolvidas e levarão algum tempo para serem aperfeiçoadas e popularizadas, de modo que as senhas permanecerão por mais algum tempo. 

Mas o fato principal, é que o futuro das senhas se resume a quanto tempo as empresas estão dispostas a manter as brechas de segurança e listas intermináveis ​​de senhas, combinadas com a rapidez com que os cibercriminosos aperfeiçoam novos métodos para quebrar métodos de criptografia, descobrir formas de realizar acessos indevidos e realizar seus crimes.