São Paulo, maio de 2015 – A maioria das pessoas tem dezenas de senhas diferentes para suas contas on-line o que às vezes exige muito da memória dos usuários. Em um recente anúncio, o Yahoo lançou uma ideia inovadora para senhas que poderia ajudar muito. O conceito é bem simples. Ao selecionar o uso de uma senha única nas configurações de conta, ao fazer o login, o usuário recebe uma senha de acesso por SMS. Embora pareça simples e eficiente, a AVG Technologies, fabricante de soluções de segurança, desempenho e privacidade para computadores e dispositivos móveis, questiona: isso é seguro?
De modo geral, há três tipos de autenticação utilizados atualmente:
- Login e senha;
- Login, senha e código de verificação (utilizando SMS);
- Dupla autenticação utilizando login, senha e outro dispositivo que ofereça senha exclusiva.
A solução criada pelo Yahoo parece estar no meio do caminho entre a primeira, menos segura, e a segunda. "Enviar uma senha sob demanda para um dispositivo é um passo na direção certa, mas implica em outros riscos de segurança envolvidos ao transmitir os dados por meio de SMS e para um dispositivo potencialmente desprotegido", explica Mariano Sumrell, diretor de marketing da AVG Brasil.
O risco existe porque o celular do usuário pode não ter uma senha e ser infectado por um malware capaz de "ler" o SMS. Nesse caso, a conta do e-mail e todos os dados dela ficam comprometidos. Por isso o especialista da AVG alerta: se o usuário realmente deseja ativar o uso de senhas sob demanda, a recomendação é sempre ter um código ou senha de acesso no smatphone ou tablet e contar com um bom antivírus para protegê-lo, como o AVG AntiVirus para Android.
Qual seria a alternativa?
Utilizar um dispositivo móvel para ter outra camada de segurança é, sem dúvida, uma boa ideia. No entanto, para Sumrell, uma boa alternativa seria mudar o método de envio da senha, substituindo o envio por SMS por uma em um formato criptografado por meio de um aplicativo próprio.
Além disso, para ser mais seguro, o aplicativo de envio de senha única deverá exigir que o dispositivo receptor tenha segurança PIN, o que significa que o invasor precisaria da ID, celular e PIN para ter acesso à conta. "O aplicativo poderia até ir mais longe e verificar a presença de um antivírus para garantir que ele está sendo avaliado e protegido regularmente", explica o diretor da AVG.
O mercado ainda tem muitas limitações técnicas em relação a senhas customizadas, e a tendência é que no futuro os processos se tornem mais seguros e abrangentes. "Meu maior conselho, no momento, é que se você for usar esse tipo de serviço, se certifique de possuir um aplicativo de segurança e um PIN em seu celular para garantir que a senha está sendo enviada para um dispositivo seguro", finaliza Sumrell.
Sobre a AVG Technologies
A AVG é uma das líderes globais em segurança online, fornecendo soluções de software e serviços para dispositivos, dados e pessoas. Com mais de 200 milhões de usuários ativos em todo o mundo, o portfólio de produtos da AVG para o consumidor final inclui segurança na internet, otimização de desempenho, e proteção de indentidade e privacidade para dispositivos mobile e desktops. Já seu portifólio para Negócios – voltado para provedores de serviços gerenciados, VARs e revendedores – oferece soluções para gestão de TI, controle e geração de relatórios, segurança integrada, e gestão de dispositivos móveis que simplificam e protegem empresas em diversos países. A AVG possui cerca de seis mil revendas, distribuidores e parceiros em todos os lugares do mundo, incluindo Amazon.com, CNET, Cisco e Ingram Micro.
Siga o perfil exclusivo da Trama sobre tecnologia:
@tramati