Informtica
Redação do Site Inovação Tecnológica – 30/06/2021
O objetivo da Autenticao Web (WebAuthn) tornar as senhas obsoletas.
[Imagem: RUB/Marquard]
WebAuthn
Com a adeso de empresas como Microsoft, Google, Mozilla e eBay ao padro de segurana WebAuthn, cresce a preocupao na comunidade da cincia da informao sobre alguns preconceitos que ainda perduram e se disseminam sobre essa nova tecnologia de segurana.
O WebAuthn, acrnimo para “autenticao na Web”, faz parte do novo padro FIDO2, que visa tornar as senhas obsoletas.
Hoje, quando os usurios desejam efetuar login em um servio, eles inserem um nome de usurio e uma senha. A ideia que os usurios passem a se autenticar simplesmente usando seu dispositivo. Para garantir que uma pessoa que encontre um celular perdido no consiga entrar em todos os tipos de servios, os usurios precisam confirmar o processo de login por um PIN ou por biometria.
“No surpreendente que isso possa criar a impresso de que os dados biomtricos so transmitidos para o site no qual voc deseja fazer login, semelhante a uma senha. Mas isso um equvoco,” explica a professora Leona Lassak, da Universidade Ruhr, na Alemanha.
Biometria local
Em vrios experimentos online, a equipe da professora Lassak pediu que voluntrios testassem a nova tecnologia de segurana da informao e dessem suas primeiras impresses e suas preocupaes com seu funcionamento no tocante usabilidade, segurana e privacidade.
Quase 70% dos entrevistados no tinham certeza ou acreditavam erroneamente que seus dados biomtricos seriam compartilhados com o site que estavam tentando acessar.
“Para o usurio, parece que ele est se conectando ao servio online com sua impresso digital. Na verdade, sua impresso digital apenas desbloqueia uma chave criptogrfica, que armazenada no aparelho do usurio e ento usada para o login real,” esclarece Lassak.
Biometria e PIN
Outro problema surge quando o sensor de impresso digital no funciona. Na verdade, possvel usar o PIN do celular como mtodo alternativo. No entanto, como a interface do usurio no deixa essa opo muito clara, 60% dos usurios pensaram que perderiam o acesso conta nesse caso.
Os pesquisadores tambm perguntaram se os participantes sentiriam que suas contas estavam seguras se seu celular fosse roubado: 93% dos entrevistados se sentiram suficientemente protegidos devido sua biometria, mas no sabiam que um invasor tambm poderia obter acesso s suas contas adivinhando o PIN do celular.
Ao tentar esclarecer os usurios, contudo, a equipe descobriu que no muito eficaz destacar as desvantagens das senhas ou mencionar as empresas confiveis que ajudaram a desenvolver o padro WebAuthn.
“O mais eficaz para lidar com os equvocos comunicar explicitamente que os dados de impresso digital e rosto nunca so transmitidos para o site,” explica a pesquisadora Annika Hildebrandt, membro da equipe.
Artigo: Mitigating users misconceptions about FIDO2 biometric WebAuthn
Autores: Leona Lassak, Annika Hildebrandt, Maximilian Golla, Blase Ur
Revista: Proceedings of the 30th USENIX Security Symposium
Link: https://www.blaseur.com/papers/fido2biometrics-extended.pdf
Outras notcias sobre:
Mais tópicos
ENVIE UM COMENTÁRIO