A startup que atraiu mais investimentos na história da cibersegurança, mais de US$ 500 milhões, tem uma missão simples: quer matar as senhas.

Hoje uma pessoa normal tem de decorar entre 70 e 80 senhas, e a Transmit Security, de Boston, acredita que há uma maneira melhor de fazer login aos sites e aplicativos da web, diante da onipresença dos smartphones e computadores com tecnologia de reconhecimento facial ou leitura de impressões digitais.

“Foi isso o que mudou no mercado que simplesmente não era verdade um ou dois anos atrás”, disse Rakesh Loonkar, presidente e cofundador da Transmit, que levantou US$ 543 milhões de investidores em junho.

A necessidade de substituir as séries de letras e números altamente fraudáveis que são usadas para acessar a vida cotidiana se tornou ainda mais urgente devido à mudança para o trabalho remoto e a uma série de invasões relacionadas a senhas, como o congelamento do oleoduto Colonial, que causou falta de combustível em toda a costa leste dos Estados Unidos no início deste ano.

Em 2020, o Fórum Econômico Mundial aproveitou a pandemia para propor um “futuro sem senhas”, afirmando que isso “melhora enormemente a segurança de uma empresa, ao reduzir a superfície geral de ataque e eliminar o risco de credenciais comprometidas”.

Em consequência, a corrida para substituir as senhas já começou, e a segurança baseada em biometria surge como uma das soluções mais procuradas.

“Eu acho que a vasta maioria dos serviços ao consumidor oferecerão sistemas de login sem senha nos próximos anos”, disse Andrew Shikiar, executivo da Fast Identity Online, ou Fido, uma coalizão de mais de 250 companhias, incluindo Google e Microsoft, que promove um sistema padrão de autenticação sem senha.

“Se for feito corretamente e com segurança de maneira coordenada, a biometria vai realmente [nos ajudar] a chegar a um futuro sem senhas, rapidamente. Há muita inovação e muito investimento nesse espaço.”

Senhas comprometidas

Apesar da disseminação de softwares de gestão de senhas que podem regenerar e lembrar séries complexas de caracteres aleatórios, algumas das senhas mais comuns ainda são “12345”, “senha” e “euteamo”.

Mais de 80% das invasões de sistemas envolvem senhas comprometidas, segundo o Fórum Econômico Mundial, e elas continuam sendo o dado mais procurado pelos hackers, acima de outras informações pessoais ou sensíveis.

Em muitos casos, indivíduos são enganados para entregar detalhes de senhas por emails de “phishing” e outras técnicas de engenharia social. Mas os ciberinvasores também tentaram invadir apps e roubar bancos de dados inteiros de senhas, como já aconteceu com grandes grupos tecnológicos como Yahoo e Linkedin.

Um mercado animado de senhas se movimenta na dark web, parte da internet que só é acessível por meio de navegadores não identificáveis. Segundo pesquisa da Digital Shadows, há mais de 15 bilhões de credenciais circulando em fóruns de hackers, obtidas em mais de 100 mil invasões separadas.

As senhas também sofrem ataque de novas tecnologias, como robôs automatizados que podem rapidamente tentar adivinhá-las, tática conhecida como “password spraying” (borrifo de senhas), ou que experimentam senhas roubadas em diferentes contas online, técnica conhecida como “credential stuffing” (enchimento de credenciais).

O futuro

Várias startups estão convencendo um número crescente de empresas a mudar de senhas para outros métodos de autenticação, por segurança, facilidade de uso e redução de custos.

As estimativas variam, mas para muitas companhias o custo de reformular as senhas de seus funcionários é de US$ 25 a US$ 75 a cada vez, levando em conta a necessidade de ter pessoal de recuperação de contas e centro de ligações.

Um relatório de 2018 da Forrester concluiu que algumas grandes companhias dos EUA alocaram mais de US$ 1 milhão por ano em custos de suporte, incluindo tecnologias antirrobôs.

“Tudo está ligado à experiência do usuário, a compliance —e também a economizar dinheiro”, disse Ismet Geri, executivo-chefe da companhia de identidade sem senhas Veridium, acrescentando que as receitas em sua empresa aumentaram 250% ano a ano em 2020, devido à alta demanda.

Veridium, Transmit e várias startups voltadas para finanças online, pagamentos e varejo adotaram uma solução também defendida pela Fido e a WWF: biometria. Microsoft, Google e Apple também estão cada vez mais injetando autenticação biométrica como um meio de fazer login em seus dispositivos, usando Fido.

Mas ainda há riscos no uso desses sistemas. Ao contrário das senhas, a biometria não pode ser alterada. Isso quer dizer que esses dados devem ser rigidamente protegidos para fins de privacidade e para evitar “spoofing”, quando os hackers tentam enganar câmeras ou sensores com fotos, máscaras ou moldes da vítima.

“A autenticação biométrica e sem senhas tem sua própria superfície de ataque”, disse Lavi Lazarovitz, diretor de pesquisa de segurança na CyberArk.

No mês passado, sua equipe revelou que tinha encontrado um erro de projeto que permitia que potenciais atacantes contornassem o reconhecimento facial no login do Windows, o Windows Hello, injetando fotos fraudadas do rosto de um usuário no processo.

Mais

Leia Mais

Voltar Ver novamente

Voltar

Voltar

Compartilhe

• Facebook
• Whatsapp
• Twitter
• Messenger
• Linkedin
• E-mail
• Copiar link

Esse ataque seria altamente sofisticado, exigindo acesso físico ao dispositivo visado, mas poderia ser usado por “atacantes de países visando um indivíduo específico”, disse Lazarovitz. Ele advertiu que um mercado paralelo desses dados biométricos altamente valiosos poderá se tornar mais comum.

Login biométrico

No entanto, a segurança dos sistemas biométricos melhorou, segundo Loonkar, da Transmit. No passado, a informação biométrica muitas vezes era mantida em bancos de dados em servidores centralizados, mas hoje é possível garantir que ela fique em uma parte segura do dispositivo do indivíduo.

“Quando as pessoas têm medo da biometria, na verdade têm medo da biometria armazenada centralmente e que pode ser roubada centralmente”, disse Loonkar, citando a invasão em 2018 de um banco de dados de cidadãos indianos mantido pelo governo. Mas com a tecnologia da Transmit as invasões maciças são impossíveis, e em vez disso teriam de ser realizadas em cada dispositivo, acrescentou ele.

Enquanto isso, outras startups, como BioCatch e BehavioSec, estão explorando maneiras de derrotar o spoofing ao verificar continuamente o usuário em tempo real, usando biometria comportamental.

Seus sistemas aprendem como o usuário lida com seus dispositivos ou se comporta no computador e captam se há alguma mudança suspeita.

“A biometria comportamental deveria ser uma camada adicional de detecção de fraudes”, disse Geri, da Veridium.

No entanto, é necessária uma maior supervisão do mercado nascente de biometria —para evitar o abuso de companhias ou governos—, segundo Anil Jain, professor emérito da Universidade Estadual de Michigan e especialista em reconhecimento biométrico.

“Assim como a informação pessoal é compartilhada com anunciantes, precisamos de uma forte regulamentação dos dados biométricos”, disse ele.

Caminho longo

Mas o maior obstáculo no caminho das startups que esperam matar a senha é como mudar anos de hábito.

Ed Amoroso, executivo-chefe e fundador da TAG Cyber, empresa de pesquisa e assessoria cibernética, afirmou que enquanto aplicativos sensíveis podem rapidamente mudar de senhas, outros sites, como os de pôquer online, têm menos incentivo para atualizar seus sistemas.

“Minha opinião é que nunca vamos nos livrar delas. Você não pode tornar ilegal que alguém as use”, disse ele. “Nunca vamos chegar a essa era pós-senhas.”