Um relatório recente alega que um grupo de cibercriminosos russos roubou 1,2 bilhão de nomes e senhas de usuários de 420 mil sites. As violações afetam uma enorme variedade de organizações, incluindo empresas da Fortune 500 e outros sites menores. Os endereços não foram identificados, uma vez que muitos ainda estão vulneráveis a ataques.
Supostamente, o grupo russo utilizou botnets para sondar websites em busca de vulnerabilidades para obter os detalhes de acesso. O relatório afirma que, quando um dos computadores infectados acessava um site, os atacantes forçam o computador a realizar um ataque SQL injection para verificar se há vulnerabilidades. Se houver, os golpistas retornam posteriormente para roubar informações do banco de dados.
Supõe-se que os atacantes não venderam muitos dos detalhes online roubados e teriam utilizado as informações para enviar mensagens de spam em redes sociais. Ainda assim essas credenciais podem ser muito valiosas para outros cibercriminosos. Se as pessoas afetadas reutilizavam suas senhas em outros serviços, os atacantes podem usar os dados para comprometer outras contas e obter mais informações sobre as vítimas.
O Problema de Senhas
Este incidente revela mais uma vez como o sistema atual de senhas é falho. Uma vez que as pessoas reutilizam senhas em diversos sites ou criam senhas de fácil descoberta, um cibercriminoso pode conseguir acesso às credenciais de login violando as informações de um site e usar os detalhes para obter acesso não autorizado a diversas outras contas online.
Nem mesmo as notícias sobre grandes vulnerabilidades são suficientes para convencer a maioria dos usuários a mudar suas senhas. Um relatório recente do Pew Research Center declarou que menos de quatro em cada dez pessoas que sabiam sobre a vulnerabilidade Heartbleed mudaram suas senhas em resposta ao bug.
Entretanto, ao invés de culpar o usuário, pode ser melhor considerar maneiras para melhorar a forma como a autenticação é efetuada em serviços online. E, considerando a velocidade da evolução das tecnologias de consumo e de negócios nos últimos anos, este pode ser o momento exato para agir.
Autenticação Móvel
O crescente uso dos smartphones ajudou a alavancar a popularidade das autenticações de dois fatores. Nela, após o usuário efetuar o login com sua senha, um e-mail, mensagem SMS ou aplicativo móvel é enviado para obter seu segundo código temporário de autenticação. Isso significa que, mesmo que a senha do usuário esteja comprometida, um cibercriminoso ainda precisaria obter acesso ao segundo método de autenticação para invadir a conta do alvo.
Além disso, o próximo passo para efetuar o login com segurança é a autenticação biométrica. Essa tecnologia já existe há algum tempo, mas a Apple trouxe-a para o grande público ao introduzir um sensor de impressão digital em seu iPhone 5S no ano passado. Com ela, os usuários podem desbloquear seus telefones ou autenticar compras no iTunes colocando o dedo sobre o botão Home.
Atualmente, outros fabricantes de smartphone implementaram este recurso em seus aparelhos e, em junho, a Apple abriu esse recurso para todos os aplicativos, ajudando a tecnologia a se popularizar ainda mais. E essa autenticação biométrica em smartphones já está evoluindo. De acordo com um executivo da Samsung, a empresa está considerando fabricar aparelhos que detectam a íris do usuário para identificá-lo.
O Futuro da Autenticação
É importante ressaltar que a autenticação não vai parar aqui, uma vez que os pesquisadores estão sempre buscando novas maneiras de revolucionar o sistema. No ano passado, Regina Dugan, chefe do grupo de Tecnologia e Projetos Avançados do Google, sugeriu que uma tatuagem ou uma pílula ingerida poderiam autenticar um usuário, para que o usuário pudesse acessar seu aparelho – ou até mesmo seu carro ou porta de casa – apenas tocando-o.
Já uma empresa surgida na Universidade de Oxford está trabalhando em um novo sistema de autenticação. O Oxford BioChronometrics mede diversos comportamentos diferentes do usuário com seu aparelho, o que inclui a forma como o telefone é inclinado quando há digitação, a velocidade de rolagem, movimentos no mouse, entre outros. O sistema combina essas informações para criar os “Atributos Naturais Definidos eletronicamente” (eDNA, na sigla em inglês) do usuário, que são então utilizados para fazer o acesso.
O cientista Frank Stajano, da Universidade de Cambridge, por sua vez, acredita que há outra resposta para o problema das senhas na forma de uma aura eletrônica. Neste sistema, o usuário usa um acessório ou um implante sob a pele que gera essa aura. Ela se estenderia por até um metro ao redor do corpo da pessoa e seus sinais só permitiriam que aparelhos que pertencem ao usuário funcionem. Com isso, as pessoas poderiam destravar seus carros com um chaveiro eletrônico dentro deste campo. Stajano também está desenvolvendo um aparelho chamado ‘pico’, que armazena uma infinidade de senhas diferentes de serviços online. Ele só funcionaria dentro da aura eletrônica.
Como Proteger suas Informações
Pode demorar até que estes ambiciosos projetos de autenticação se tornem realidade. Por enquanto, a Symantec recomenda que os usuários protejam suas informações online contra atacantes das seguintes maneiras:
- Sempre utilize senhas fortes e nunca as reutilize em outros sites.
- Ative a autenticação de dois fatores em sites que oferecem esta opção. Os Serviços de Validação e Proteção de Identidade (VIP) de Symantec permitem que as empresas implementem ambos os tipos de autenticação; de dois fatores e baseada em risco, sem token.
- Considere utilizar um gerenciador de senhas, como o Norton Identity Safe, que armazena com segurança senhas diferentes para serviços online.