loqr, o fim do esquecimento das palavras-passe
As palavras-passe estão a ficar cada vez maiores, mais complexas e impossíveis de decorar. Isto porque apesar de se criarem novos mecanismos de autenticação mais seguros, integrados e centrados no utilizador, estes não deixam de utilizar palavras-passe.
Um problema de Segurança comum é a utilização constante dessas palavras-passe em canais inseguros, quer na forma como são criadas, armazenadas e até transmitidas. O loqr procura contornar este problema.
Existem algumas soluções como o Keepass (Opensource) ou o LastPass (Comercial) que se focam no armazenamento das várias palavras-passe em cofres digitais. No entanto, há sempre o perigo de existirem keyloggers, ou seja, um mecanismo (software ou hardware) que permita ter acesso a tudo o que é feito, seja via teclado ou via rato. Em algumas situações, mais especiais, é até possível visualizar exactamente o mesmo que a vítima está a ver no seu próprio ecrã. Além disso, novas soluções, baseadas não só em palavras-passe (algo que sabemos), mas também em algo que possuímos (e chamadas de soluções de autenticação multi-factor) começam cada vez mais a surgir como uma necessidade, especialmente em situações em que a segurança é ainda mais crucial.
Como nos poderemos defender destes ataques?
A utilização de equipamentos criptográficos extra que obriguem a uma “presença” física, aumenta drasticamente o nível de segurança. Alguns destes exemplos são (lista não exaustiva):
- Smart cards, como é o caso do Cartão de Cidadão. No entanto, implica a aquisição de leitores para interacção com o computador. Podem ser usados como substituição da tradicional palavra-passe ou como mecanismos de segurança adicional (multi-factor);
- Tokens USB criptográficos, em tudo similares, a nível de funcionamento, aos smart cards do Cartão de Cidadão, mas sem a necessidade de leitores adicionais;
- Ubikey, que é um dispositivo que suporta criptografia e que permite a autenticação dos utilizadores com um nível de segurança adicional (multi-factor).
No entanto, todas estas soluções, implicam a aquisição de um equipamento extra para cada utilizador, além da integração mais ou menos pesada, nos portais em que se pretende um aumento de segurança, podendo-se ou não deixar de utilizar completamente as palavras-passe! Outro problema é que não garantem uma transição pacífica e suave, por parte do utilizador, para os diversos sites que visita no seu dia-a-dia.
Existe solução?
A ideia é conseguir aumentar a segurança, sem a necessidade de adquirir um equipamento adicional para todos os utilizadores. O que é que todas (ou quase) as pessoas detêm e que tem capacidades computacionais? Pois é, o smartphone! Foi com esta ideia em mente que a KualityAttribute criou o loqr (lê-se Locker).
O que é o loqr?
O loqr é uma nova solução de autenticação, de simples utilização, baseada em tecnologia QR Code (chamam-lhe Unlock Codes), criptografia e smartphones. Na sua solução mais básica, ou Single Factor, continua-se a utilizar palavras-passe, mas de uma forma mais transparente, “user-friendly” e segura. Destacam-se as seguintes características:
- Simplicidade: com o loqr, o smartphone é o centro da solução de autenticação. Basta apontar a câmara do smartphone para o Unlock Code e a autenticação é feita;
- Transparência: com esta App, o smartphone passa a ser um Gestor de Palavras-passe, sem a necessidade de encontrar ou mesmo conhecer a palavra-passe de cada site, pois o loqr faz isso automaticamente;
- Segurança: as palavras-passe são cifradas com AES-256 e só são guardadas no smartphone, sendo que a autenticação é feita usando o smartphone e nunca o teclado, nem o rato.
Para o utilizador final, funciona um pouco como por magia, aponta-se a câmara do smartphone ao ecrã do computador e em segundos é feito login, sem a necessidade de introduzir o nome de utilizador ou a palavra-passe. No vídeo abaixo pode ver uma demostração da utilização do loqr.
Como funciona o loqr?
O funcionamento do loqr é bastante simples. Existe um “cofre” digital com todos os campos (nome de utilizador, palavra-passe, site e “token” adicional para as situações multi-factor).
No caso de ser uma solução integrada, aparece automaticamente o Unlock Code (Sing-in with loqr) integrado na página Web (recorrendo a uma extensão do Google Chrome ou Safari). Depois, com a aplicação instalada no smartphone é possível autenticar sem a introdução de qualquer informação necessária ao login, no entanto continua a ser necessário a introdução de dados quando há factores adicionais de segurança (autenticação multi-factor), como é o caso da banca em geral.
Nos restantes casos, ou seja, na maioria dos websites, o utilizador/palavra-passe é mascarado através de um plugin que detecta o pedido de credenciais e gera um novo Unlock Code. É neste caso, em que há um acesso ao “cofre” digital do smartphone, que é feita uma associação com o site em causa, sendo depois fornecido esse par de dados que permite fazer a autenticação, enviado da app do smartphone via ligação segura para a extensão utilizada no Google Chrome ou Safari. Simples, não?
Por Pedro Tarrinho, Security Enthusiast
Este artigo tem mais de um ano
Não tem para WP… não tem interesse…
Sim. Ainda não. Mas irá ter.
e é assim que as pessoas vao ficando cada vez mais preguisosas porque ja nem exercitam o cerebro ,pensam apenas ha uma app que faz isto ou aquilo,escuso de ter trabalho a lembrar me.eu sempre usei passwords imensas por sinal e faco um exforco diario para me lembrar mas gosto do exercicio de puxar pela cabeça. qualquer dia nem nos mexemos para nada devido a tecnologia que nos facilita a vida.umas coisas sao optimas outras acho que nem tanto 🙁
++1
Alguem que tambem pensa desta maneira, afinal nao estou sozinho
+++++1
Concordo, acho que devemos escrever cartas para não perder a prática de escrever. Lavar a roupa à mão para fazer exercício. Usar velas para poupar na eletricidade. Ir a correr para o trabalho para combater a preguiça. Comprar mapas e não usar GPS
Eheh….well said !
Ter boas conversas, para não deixar de ser humano.
Conversas não definem um ser, onde é que esta gente anda a ver isto? :s
Sim, até porque há muitas espécies que comunicam por dialectos constituídos de todo um vocabulário, semântica e gramática, os quais, por sinal, nem foram um dos pilares das Grandes Civilizações e da evolução subsequente…
A mais de 50 anos atrás, um designer conceituado disse:
“A preguiça é o motor do progresso!”
Estas palavras hoje, fazem cada vez mais sentido.
Concordo plenamente. Hoje em dia, há muita gente que já nem os próprios números de telemóvel sabe…Eu sei os números todos da minha família, a maioria decorei-os em pequeno e até agora não mudaram. Lembro-me dos meus primeiros 2 números de telemóvel, das minhas passes todas e códigos PIN. Com os anos que já passaram, de certeza que se tivesse guardado tudo em alguma app, já não teria acesso a nenhuma desta informação.
Ok então decora lá esta pass: HsHd@#fjf1407584$&hhGGHJfDHJa
Facil não é?….
Pode ter uma lógica por detrás que só a própria pessoa deverá conhecer 😉
Quando há lógica, é mais fácil memorizar – o que é um óptimo exercício mental.
Sabes que há exercícios melhores para exercitar o cérebro do que memorizar palavras passe, e ainda tem o lado positivo de não ficares pendurado caso “não faças esse exercício”. Se queres exercitar há muitas e melhores maneiras, agora não venhas dizer que as apps fazem-te burro. Só fazem a quem deixa.
Tu jamais irás conseguir decorar uma senha de acesso do tipo porém, na verdade, qualquer programa o consegue fazer! Eu acho que é um tecnologia bem-vinda porém, quero entender uma coisa: e se o smartphone avariar?
Eu tenho uma PEN que tem permite fazer a autenticação porém, se eu colocar isso a funcionar e perder a PEN ou ela avariar, como irei recuperar as coisas?
Eu, por exemplo, prefiro o sistema Face ID da Asus. Esse, por enquanto é fiável, mas por vezes não me reconhece e eu uso a senha de acesso.
Será que esta app usa o protocolo inventado pelo Steve Gibson – sqrl? https://www.grc.com/sqrl/sqrl.htm
Não é o mesmo protocolo. O objectivo é similar, mas o intuito é ser ainda mais simples de usar.
Não se esqueçam que continua a ter o problema do Man-in-the-browser (https://en.wikipedia.org/wiki/Man-in-the-browser) que ao que parece esta a ser amplamente usado atualmente.
Sim, para a solução single factor (user e password), pois é uma limitação proveniente do site web e não da App. A solução multi factor (algo mais) prevê esse problema, mas carece de integração por parte dos sites.
Boa ideia, mas penso que já está praticamente ultrapassada.
Autenticação por retina ou impressão digital será o que iremos ver nós próximos tempos.
E muitas vezes não temos o smartphone connosco, e se nos roubarem o telemóvel?
Não me sinto mais seguro a usar essa App.
A app está protegida por um código definido pelo utilizador. Após 3 tentativas erradas, todos os dados guardados são eliminados.
Então se alguém descobrir esse pin, tem acesso às minhas contas todas?
Por favor, diz-me que não.
Não é um PIN, mas sim um passcode com um mínimo de 6 caracteres (dígitos, letras, caracteres especiais). Em versões futuras poderá ser usado touch id e outras soluções em desenvolvimento.
Ainda não me convence.
Faz lembrar o password reminder que a Ellen Degeneres uma vez satirizou.
Não é certo que esse seja o caminho, até porque nos dias de hoje já se conseguem clonar impressões digitais e retinas a partir de fotos e cartazes. Também não é certo que o caminho seja o do loqr. Para já, o importante, é que existam vários caminhos que se possam seguir.
já que tocam no assunto, alguém conhece um programa tipo “digital personna” (penso que era assim que se chamava), que guardava as password e as inseria mediante a impressão digital do utilizador?
Eu utilizava esta app no win vista. Na minha opinião era muito boa, não só para log in do windows mas também para vários sites. Mas com os win posteriores nunca funcionou bem… ao ponto de ter que a desinstalar do win 7 porque sempre que suspendia a sessão já não conseguia arrancar o PC porque a app bloqueava-me o PC
Comigo não está a funcionar no site da hotmail
Obrigado. Irá ser analisado.
E se não tiver dados móveis ou ligação à net no smartphone. Não dá mesmo para inserir manualmente, da forma tradicional a pass num website, por ex ???
É que se ficamos reféns do smartphone não a vejo como aplicação derradeira a substituir o Keepass, por ex.
Era importante saber.. OBg
Nas situações normais é sempre possivel introduzir o username/password.
No entanto, em soluções que requeiram maior segurança, há a solução integrada, que obriga a utilização do telemóvel.
Se este Loqr se mantiver neste nível, não oferece realmente uma grande melhoria na segurança, pois os smartphones infelizmente não são lá muito seguros e cada vez menos, e não é mais que uma aplicação que preenche os dados e envia para o servidor.
Estou mais interessado no SQRL (Secure Quick Reliable Login) que pelo menos acaba mesmo com o utilizador & palavra-chave pois é uma solução que utiliza chaves digital (Ed25519) em que o utilizador guarda a chave digital privada e o servidor a parte pública feita exclusivamente para aquele web site (e até conta específica, se o utilizador tiver mais que uma).
O seu desenvolvimento está a demorar uma eternidade visto que está em desenvolvimento desde 2013 e embora já esteja a funcionar há bastante tempo continua a ser melhorado, e o seu autor recusa-se a lançar publicamente até achar que está tão perfeito quanto possível para garantir que quando sair ninguém terá por onde pegar para não utilizar o sistema, assim queira é claro acabar com os nomes de utilizadores & palavra-chave dos seus web sites.
De notar que este SQRL pode perfeitamente funcionar com segundos factores de autenticação (FIDO U2F, OTP, etc.), e que será gratuito e qualquer um pode desenvolver & implementar por si ou utilizar algo já feito por terceiros.
Por outro lado este SQRL poderá ser utilizado no computador, no tablet, no smartphone, num dispositivo físico dedicado, enfim, onde o utilizador quiser…. sendo naturalmente o dispositivo dedicado o único à partida que pode ser 100% seguro do ponto de vista de utilização do dia a dia, desde que o mesmo seja realmente bem construído e programado (já que pode ter apenas o estritamente essencial evitando assim contaminações de terceiros).
O SQRL também tem essa parte mágica do utilizador apontar para um código QR na página e autenticar-se pelo smarphone… mas sem necessidade de plugins de espécie alguma no computador… já que o smartphone lê esse código QR, assina-o digitalmente e envia directamente para o servidor que uma vez que reconheça a chave pública como pertencente a um cliente sabe qual é o cliente para o qual enviou o código e permite que o mesmo entre na sua conta no computador.
E se a chave digital privada for furtada/ roubada também existe forma de recuperar acesso à conta e que permite também trocar a chave por uma nova, sem que quem furtou/ roubou a chave privada anterior o possa fazer.