Morte das senhas com Mozilla Persona: funcionará desta vez?
A senha está morta, mais uma vez. A Mozilla anunciou na semana passada que seu sistema de autenticação web Persona, que elimina a necessidade de inserir palavras-passe específicas ao participar de sites, entrou na fase beta e está pronta para desenvolvimento geral.
As senhas já deveriam estar mortas há muito tempo. Não é por menos que o presidente do conselho e fundador da Microsoft, Bill Gates, declarou-as em óbito no ano de 2004. Mas assim como pesquisadores da companhia notaram ano passado, essa forma de segurança ainda tem seu pulso.
“Apesar de incontáveis tentativas de inativá-las, as senhas são mais frequentemente usadas e firmemente incorporadas do que nunca”, disse Cormac Herley, um dos principais pesquisadores do departamento de compreensão de máquinas da Microsoft Research, e Paul C. van Oorschot, professor de ciência computacional na Universidade Carleton, do Canadá, em um material de estudo.
Quando as senhas morrerem, a segurança online deve melhorar. Esta é a teoria, se você assumir que não há nenhum outro lugar para ir, que os criminosos não vão se adaptar, e que a tecnologia representa o link mais fraco na cadeia humana. Pelo menos, o fim do mecanismo eliminaria a possibilidade de ter seus códigos publicados no pastebin.com após uma quebra de segurança e ter que explicar aos seus amigos e colegas de trabalho porque escolher a palavra “senha” para sua senha lhe pareceu uma boa ideia naquele momento.
Como outros sistemas sign-on – e há muitos – a Persona promete permitir que websites terceiros autentiquem usuários sem a necessidade de perguntar login e código de verificação. “Diferentemente de códigos por site, o Persona permite que os usuários façam login com apenas dois cliques depois de completar um simples e único processo para cada uma de suas identidades”, explicou a Mozilla em seu site. “Esta é uma forma segura, protegida e construída em cima de uma chave de criptografia pública. Em vez de usar uma senha, os usuários do browser geram uma afirmação de identidade criptográfica que expira depois de alguns minutos e é válida em apenas um site.”
O Persona, explica a Mozilla, é mais fácil do que o OpenID, um outro sistema de autenticação, porque é baseada no endereço de e-mail do usuário, em vez de geração de URL. Endereços de e-mail têm duas vantagens distintas. Primeiramente, seu pseudônimo garante mais privacidade que um sistema sign-on usado pelo Facebook e Google+, o que requer o uso de nomes reais. Em segundo lugar, eles estão mais sujeitos ao controle do usuário: indivíduos podem se registrar e operar seu próprio domínio de internet, para maior ou menor identidade de e-mail. Em serviços como Gmail ou Yahoo Mail, usuários não podem levar seus endereços para outros provedores de serviços se estiverem insatisfeitos.
A arquitetura da Persona garante uma vantagem de privacidade. Enquanto sistemas como o OpenID requerem sites terceirizados para contatar um provedor de autenticação, a Persona torna o navegador do usuário o intermediário, passando credenciais do provedores de e-mail para o site terceirizado. Isso expõe menos os dados visitados no site, evitando rastreamento em potencial.
Corporativo
Também há benefícios para negócios que adotam o Persona. O sistema garante acesso de endereço de e-mail a desenvolvedores, permitindo que endereços e eletrônicos e “construtores” de aplicativos contatem seus clientes e eliminem o atrito de pedir o contato em um e-mail separadamente. Endereços de e-mail também funcionam bem com a maior parte dos sistemas de login.
O problema com sistemas de autenticação sãos os negócios de compra pela internet. Provedores de conteúdo e serviço online podem escolher integrar um sistema de autenticação como o Persona, mas eles tendem a evitar isso. Um estudo feito em 2010 pela Universidade de British Columbia descobriu que entre os sites que poderiam adotar o OpenID, a adesão foi menor do que 0,02%.
O documento cita diversos motivos para isso: falta de incentivos para os negócios, competitividade e preocupações, usabilidade, segurança, privacidade, confiança e questões legais. A falta de incentivos comerciais
Apesar de a adoção de uma tecnologia como a Persona ter benefícios operacionais, tais como reduzir a manutenção de senhas e custos de recuperação, fazê-la com grande frequência não aparenta benefícios competitivos. Na verdade, utilizar um sistema de autenticação externo pode impor uma desvantagem competitiva se isso representa uma privação a respeito dos dados do usuário. O documento caracteriza a situação como uma “Guerra de identidade” que existe “desde o começo da web” para construir paredes que mantenham clientes e competidores separados. Imagine o Google permitindo que usuários fizessem login com a identidade do Facebook, e vice-versa, para deixar a compreensão do problema mais cara.
No entanto, a associação do Persona com a Mozilla, uma organização que não visa lucros, pode funcionar. As companhias que tenham sido reticentes a utilizar o sistema de autenticação do Google ou do Facebook podem ficar mais à vontade com a fundação e sua ética de web aberta.
Sally Hudson, analista do IDC, caracteriza o problema como um equilíbrio entre custo, conveniência e risco. “Clientes ou até mesmo empregados” tentarão burlar o uso de mecanismos complexos de autenticação”, disse em um e-mail. “Em um mundo onde as receitas são geralmente direcionadas por globos oculares e cliques de mouse, qualquer coisa que irrite ou deixe os usuários mais lento no processo de compra de um produto ou contratar um serviço será rapidamente descartado”, ponderou. No entanto, chamou a atenção, qualquer coisa é melhor do que nada quando se trata de autenticação, “não existe nenhum método infalível ou autenticação padrão no mercado hoje”.
