Chaves físicas protegem computadores contra hackers
Google e Yubico desenvolvem utensílio que protege computadores e celulares de invasões e vírus
Vamos conversar sobre cintos de segurança. Especificamente, o cinto de segurança de três pontos inventado em 1959 por Nils Bohlin, engenheiro da Volvo. A criação não requeria que as montadoras mudassem a maneira pela qual fabricavam carros —acrescentava apenas uma peça e um trabalho adicional para os motoristas.
Usar um cinto de segurança se provou tão mais seguro do que dirigir sem ele que deflagrou uma onda de inovação na segurança automobilística que continua até hoje.
Stina Ehrensvard, presidente-executiva da Yubico, empresa de segurança online, vê paralelos entre essa história e seu trabalho de tentar nortear o futuro da segurança online.
A internet chegou, rápida, nova e completamente insegura —um cinto de segurança era necessário.
Ehrensvard passou os dez últimos anos criando hardware e software que tornam o uso da internet mais seguro sem adicionar complicações desnecessárias.
A reportagem está testando o mais novo produto da Yubico, a YubiKey 5, em companhia de um novo aparelho do Google chamado Titan Key. São como pequenas chaves conectadas ao acesso do USB.
Os dois são plugados a um computador e autenticam o usuário com um “aperto de mão” virtual que pode ser mais seguro que uma senha ou código de autorização.
Os sistemas funcionam também para smartphones —plugados a um aparelho ou conectados a ele via rede sem fio.
No momento, uma chave como essa é nossa melhor defesa contra qualquer pessoa que tente invadir contas de email, mídia social ou redes de trabalho.
Também é o primeiro passo de uma reforma completa na segurança da internet, que pode, enfim, matar a senha.
Essas chaves são conhecidas como “segundo fator” no arsenal de segurança da internet. Você talvez já tenha ouvido falar em autenticação de dois fatores.
O primeiro fator é quase sempre sua senha, e o segundo, um código enviado ao seu celular ou gerado por ele. O segundo pode ser qualquer coisa que demonstre que é de fato você que está digitando uma senha.
Por que precisamos disso? Porque as senhas são um desastre. Anos e anos de invasões por hackers expuseram uma quantidade absurda de informações sobre usuários.
Pesquisadores do Google estimam que 3,3 bilhões de credenciais tenham sido expostas por violações de dados entre março de 2016 e março de 2017.
O total inclui diversas de minhas senhas, e provavelmente algumas das suas. Como tanta gente reutiliza senhas em diferentes serviços, qualquer violação pode afetar toda a sua vida na internet.
Uma chave de segurança é o mais seguro dos aparelhos de autenticação em dois fatores que você encontrará, ainda que recorrer a uma delas seja provavelmente um exagero, para a maioria das pessoas.
Gosto da Google Titan Key e da YubiKey, que vêm em múltiplos tamanhos e formatos de USB. Todos os modelos custam de US$ 20 (R$ 74) a US$ 60 (R$ 222).
Elas trabalham de modo imperceptível nos computadores e também são cada vez mais compatíveis com celulares —se você usa o Android.
Por enquanto, os usuários do iPhone não têm acesso, ainda que a Yubico esteja trabalhando em um produto para a porta Lightning dos aparelhos Apple.
Quando você adquire a chave, deve registrá-la na área de configurações de qualquer que seja o app que esteja usando —sites como Gmail, Dropbox e Facebook já funcionam com chaves de segurança.
Assim que o sistema estiver configurado, é hora de conectar a chave, em geral depois de digitar a senha. Em seguida, basta apertar um botão na chave para confirmar que está sendo usada por um ser humano. As menores chaves da Yubico podem ficar escondidas no acesso USB.
Por que manter a chave no aparelho? Hackers que obtenham suas senhas não terão acesso ao seu laptop. Da mesma forma, uma pessoa que roube seu computador provavelmente não saberá sua senha. Ao apertar o botão, o app rapidamente verifica a chave e autoriza o acesso.
As chaves de segurança usam um sistema de criptografia de chave pública para verificar sua identidade. O app envia um código secreto que só você pode identificar, sua “chave privativa” o decifra e codifica uma mensagem de resposta e a envia —uma confirmação de que você é quem diz ser.
O melhor é que não é preciso compreender tudo isso para usar a tecnologia.
As chaves de segurança também ajudam a proteger usuários contra o “phishing”. Por exemplo, se você recebe uma mensagem de email aparentemente oficial do Bank of America, pedindo que revise as atividades em sua conta, uma chave de segurança tentará verificar que você está no site real.
Se você estiver em uma página criada para roubar suas credenciais, a chave bloqueará seu acesso.
Mesmo que você use a chave apenas no computador, ainda vale a pena tê-la. É muito mais rápido que apanhar o celular a cada vez que você precisa se conectar a alguma coisa.
Também é bom ter uma chave reserva à mão, caso você perca a original —sem ela, a recuperação pode ser um processo complicado. Mesmo que a chave seja roubada, os hackers não poderão usá-la contra você, a menos que saibam também suas senhas.
As senhas não desaparecerão ainda, disse Brett McDowell, diretor-executivo da FIDO Alliance, organização que trabalha em padrões de segurança cibernética. As senhas estão muito estabelecidas e têm algum uso: sem elas, o que acontece se a pessoa perder sua chave?
Ainda assim, argumenta, “as senhas estão perdendo ano a ano seu valor como credenciais”.