Proponha uma correção, faça uma sugestão
É o fim das passwords nos browsers? Esta novidade diz que sim
Todas as medidas de segurança nos browsers tendem a recair sobre um único elemento. É nas passwords que temos de confiar e no grau de proteção que oferecem, como um modelo clássico e com provas dadas.
Esta verdade universal parece ter os dias contados, com uma nova proposta apresentada pelo WC3 e que está agora aos chegar aos browsers. As passwords vão ser passado e a WebAuthn vão ocupar este espaço.
A nova proposta pretende eliminar, de uma vez por todas, a utilização de passwords para acesso aos sites da Internet e implementar um novo padrão para este tipo de autenticações.
O WebAuthn foi apresentado finalmente num estado suficiente maduro para ser finalmente implementado nas próximas versões do Chrome e do Firefox. Esta será a API que irá revolucionar as autenticações, recorrendo a um novo modelo.
Na prática, as autenticações por passwords vão ser substituídas por novas formas, mais seguras, e que dependem da impressão digital, da leitura da íris ou de um simples PIN. Estes métodos e as novas autenticações vão ser armazenadas nos serviços da mesma forma que as passwords.
Esta API irá registar as autenticações nos diferentes serviços, podendo ser usadas da mesma forma que as atuais passwords. A diferença está no seu grau de segurança, mais elevado e mais preparado para garantir a segurança dos mecanismos de autenticação.
Ainda é cedo para se ver a WebAuthn em autenticação, apesar de estar já presente. Empresas como a Google e a Mozilla preparam-se para as introduzir como padrão nos seus browsers. Espera-se que o Chrome 67 e o Firefox 60 tenham já presentes estes mecanismos ativos nativamente. Do lado da Apple e do seu Safari ainda não existem movimentações, esperando-se que em breve esteja também disponível.
Tem sido um longo caminho no sentido de eliminar de vez os tradicionais e mais que gastos mecanismos de autenticação assentes em passwords. A mudança parece vir com o WebAuthn e com o que tem sido desenhado ao longo dos últimos 2 anos.
Este artigo tem mais de um ano
Loading ...
Acho mais seguro ter uma pasword, à moda antiga… Pelo menos não dou a ninguém a minha impressão digital/iris. Querem-nos *vender” lixo.
É preferível abdicar de um qualquer serviço, do que dar esse tipo de dados.
A ganância de usar tudo o que aparece à frente é tanta, que a malta dá tudo e tudo perde. Juizinho é o que faz falta a 99.999% do mundo.
Achas? Definitivamente não estás devidamente informado.
O que este método no final está a fazer não é nada mais nada menos do que a implementação de 2FA. E se leres algo como a preparação para exames de segurança, todos eles recomendam a implementação de MFA.
Não estás a dar os dados a ninguém. Do meu ponto de vista, isto não é em nada diferente quando comparado com aplicação de bancos. Exemplos: ING na Polónia com MFA activado não me deixa fazer nenhuma operação sem confirmar via applicação no telemovel.
Login no Onedrive with MFA activado. Após inserir user/pass, é-me perguntado um código ou permissão na app microsoft authenticator para fazer login.
O problem é se o telefone avariar ou o perder, tenho que fazer o update de todos os serviços que fazer uso do MFA o que para mim é mandatório ter. Mínimo 2FA.
Esquece isso, sendo que és mais feliz assim tendo a falsa sensação de segurança.
Se tivesse que dar um palpite diria que usas AntiVirus AVAST e achas que é o melhor porque nunca te chateia e funciona sempre bem 😀
A tua senha são carateres, tal como tu consegues ver clicando nuns botões no Chrome sem dupla autenticação, qualquer malfeitor também consegue. Ainda para mais achando que se está seguro em 2018 com carateres de autenticação.
Exemplo, nos serviços/websites com dupla autenticação google etc, podes até por uma senha que nunca usas, fraca, podes e deves porque deves sempre supor que vao roubar essa senha mais tarde ou mais cedo. O que vai contar será o 2º passo de autenticação.
Guarda as senhas mais importantes de serviços sem 2a camada de proteção para as senhas mais seguras e dificeis. Porque achando a de um, vai entrar nos dicionários para as outras todas.
Qual é o problema do AVAST mesmo? De certeza que o problema não está entre o teclado e a cadeira?
Se usas AVAST vai lá fazer um scan com um ESET grátis ou malwarebytes e vais ver o teu espanto.
Se tens coragem para contar vírus no teu pc faz isso. Se preferes achar que estás seguro mantém se igual.
Não estás minimamente informado sobre o assunto e opinar nessas condições pode ser perigoso. Sugiro que te documentos e só depois formules opiniões.
Penso que é uma caracteristica da nossa cultura, todos sabemos tudo sobre tudo e todos somos quem para opniar expertamente sobre algo…
Não perceberam o que quis dizer 😉
Não uso avast, nem sequer windows. Sou fã de linux. Já agora também não uso as gapps na minha lineage, também não ligo nada a serviços da google, nem cenas de clouds e companhia. Os meus dados estão bem comigo.
É óbvio que uma simples password não tem a segurança de dados biométricos, mas nunca irei permitir que tenham acesso a esse tipo de dados.
Sinto-me mais seguro com uma password insegura, do que dar “info” sobre mim. E ninguém diga que os dados não saem dos meus aparelhos, acredito mais é toda a gente quer os nossos dados seja para o que for.
PS: já agora não pago nada com cartão, nem uso cartões de fidelização para nada. Tudo com dinheiro e sem factura.
Agora se quiserem descasquem aqui no vosso amigo. Chamem-me paranóico, da idade da pedra, tanto faz 😉
Realmente também não sou adepto de dados biométricos… Agora com o scan da iris deveria ser bem porreiro receber um mail a dizer ” Tivemos alguém que acedeu à nossa base de dados, já conseguimos bloquear o atacante. Recomendamos que troque de olhos :D”
eu fui ler em que consiste a tecnologia, baseia se em chaves publicas e certificados, o problema da abordagem é sempre o mesmo, “Quem é que vai emitir os certificados?”,” Vou confiar neste certificado?”, “como é que obtens o certificado e a chave?”. Quanto vai custar a cada utilizador ter um certificado reconhcido pelo sistema? o facebook ou o youtube vao reconhecer a minha chave publica? e se eu quiser permanecer anónimo?
PUAHAHAHHAHAHAHAH, Oh parceiro que queimadela de cerebro 😉 espera então pelos processadores quânticos que vais ver para que serve a tua password à antiga LOL, isto é o início do desenvolvimento no sentido de desenvolver alternativas seguras para o que aí vem! E já agora, a sua excelência é da realeza? Person of Interest? Que vão fazer com a sua impressão digital ou padrão da iris, vender no Mercado negro? A BioSegurança fundamenta-se no facto de não haver 2 iris iguais, e o biótipo (Sua Alteza em pessoa) tem que estar biologicamente presente para autenticar no dado serviço. Sim, reconheço que lhe possam arrancar um olho ou cortar um dedo para violar a segurança, mas criminosos que façam isso também lhe metem uma pistola na têmpora até que vomite a password à antiga. Já agora, se 99.999% do mundo está louco e só você é que não, quem é o maluquito afinal? 😉
Gostei da realeza 😉
Continuo a preferir não dar info sobre mim e ter acesso a menos serviços. Voltamos à velha história de que se não tenho nada a esconder, então não importa que se tenha acesso à info? Sou um zé ninguém que tenta andar mais ou menos anónimo, e não está interessado em contribuir para bases de dados de ninguém. É só isso 😉
Mas voltando ao tópico, as passwords, por maiores que sejam, são cada vez mais fáceis de hackear. Seja por força bruta, keyloggers, pistola encostada à cabeça, etc….
Mas mesmo assim não há dados biométricos para ninguém. No máximo 2fa, com o número do telele, para serviços online do banco. O resto é desnecessário.
Não batam mais no ceguinho. Já tenho alguma idade, e como cresci num mundo sem internet, telemóveis, etc, vivo bem com poucos serviços. Gosto de ir para o café conversar e ler o jornal.
humm, nice spirit 😉
Porque é que um “simples PIN” provavelmente de 4 ou 6 numeros, é mais seguro que uma password de 8 ou mais caracteres?
Para responder a isso terias que ler a implementação do sistema, sei que possivelmente não vais ler e pensas que tens razão mas se quiseres ver o que é realmente vai a : https://www.w3.org/TR/webauthn/ e verás que é N vezes mais seguro que o que normal mas de longe.
penso que tenho razão? Eu perguntei para tirar uma duvida 😀
Mais provavel vai ser um hash bem comprido
Ola boa tarde . Tenho uma duvida se esse método for padrão o que vai acontecer as minhas passwords tradicionais elemina e fica sem acesso?e como depois configurava por pin e que o meu pc e um pouco antigo.
É tudo muito bonito mas depois vai obrigar a malta a comprar uma web cam e ter ela sempre ligada assim como um leitor de impressoes digitais. Mais umas me###as para ter de ligar as usb da torre.
Eu vou continuar com as “minhas” palavras passe habituais…essas “tecnologias” serão mais uma “mina de ouro” para sites e empresas que vivem da venda de dados pessoais. Embora já pouco tenhamos que seja mesmo privado…
Ora bem. E mais, há-de logo haver uns Facebooks (vejam o que disse hoje Zuckerberg no Senado a não negar que usam shadow profiles para monitorizar o que fazemos na Web fora do Facebook, mesmo se tivermos feito logout) que vão usar a Webcam para saberem o que comemos, a que horas, se damos uma queda, tudo para nos dirigirem anúncios de pizzas, de condoms, etc.
Big Brother IS watching you
E toda a gente tem equipamentos para ler dados biométricos?
Isso é barato vai desde os £12 na Amazon e por aí acima . De pequenos usb até aos maiores com keypad numérico, isso não é problema.
Ninguém leu minimamente o standard!
A cara, impressão digital, pin, puk, password… o que quiserem é para autenticarem-se localmente no vosso dispositivo!
O serviço remoto só fica com a parte pública da chave assimétrica (RSA, ECC, etc.), o vosso dispositivo é que guarda a parte privada.
A parte preocupante é que estão a utilizar o NIST P-256 e NIST P-384 que são conhecidos na comunidades especializada no assunto por não terem as melhores propriedades a nível de segurança.
Computadores quânticos, podem ser, ou vir a ser, um problema… mas ainda não existe nenhum padrão considerado de forma consensual como realmente o melhor… a NSA anda supostamente a desenvolver a sua querida versão para espiar toda a gente que irá ser tornada padrão algures num futuro próximo.. sempre como sendo muito seguro claro… para os outro países aceitarem e serem espiados, e entretanto devem ir surgindo várias versões que provavelmente nunca vão ser utilizadas no mercado comercial de forma massiva… como não têm sido até agora as várias outras versões de curvas elípticas mais seguras.
Vou retirar o que disse em relação ao NIST P-256 e NIST P-384 porque lendo o standard o NIST P-384 nem está presente e não é claro se estão a utilizar o mesmo NIST P-256 ou se é algo que tem o mesmo nome mas funciona de forma diferente.
Mas como estão a utilizar curva elíptica e RSA o resto do comentário abaixo mantêm-se pertinente.
Entao…um simples PIN não é a mesma coisa que uma password?
Até pode ser que não, mas a partir do momento que fica gravada essa informação…não vou muito á bola, por mais segurança que se ofereça…
sou cdego_en nao tenhu a punte dos dedus..+º. como façoo2w»?
Portanto seja usar o mesmo tipo de tecnologia que está implementada no cartao do cidadão, mas em vez de ser o estado portugues a garantir a minha entidade são impresas privadas que emitem certificados para tudo o que é segurança na internet. para me autenticar nos varios serviços online do estado portugues posso usar um leitor de cartoes com o meu cartao do cidadão e o meu pin( quando o serviço funciona). a diferença é que em vez do cartão do cidadão uso o meu smatphone com um pin ou impressao digital para provar quem sou.
basicamente o sucesso da tecnologia vai depender do custo associado à certificação dos utilizadores, acho que a maioria vai continuar a usar passwords.