As palavras-passe estão a ficar cada vez maiores, mais complexas e impossíveis de decorar. Isto porque apesar de se criarem novos mecanismos de autenticação mais seguros, integrados e centrados no utilizador, estes não deixam de utilizar palavras-passe.
Um problema de Segurança comum é a utilização constante dessas palavras-passe em canais inseguros, quer na forma como são criadas, armazenadas e até transmitidas. O loqr procura contornar este problema.
Existem algumas soluções como o Keepass (Opensource) ou o LastPass (Comercial) que se focam no armazenamento das várias palavras-passe em cofres digitais. No entanto, há sempre o perigo de existirem keyloggers, ou seja, um mecanismo (software ou hardware) que permita ter acesso a tudo o que é feito, seja via teclado ou via rato. Em algumas situações, mais especiais, é até possível visualizar exactamente o mesmo que a vítima está a ver no seu próprio ecrã. Além disso, novas soluções, baseadas não só em palavras-passe (algo que sabemos), mas também em algo que possuímos (e chamadas de soluções de autenticação multi-factor) começam cada vez mais a surgir como uma necessidade, especialmente em situações em que a segurança é ainda mais crucial.
Como nos poderemos defender destes ataques?
A utilização de equipamentos criptográficos extra que obriguem a uma “presença” física, aumenta drasticamente o nível de segurança. Alguns destes exemplos são (lista não exaustiva):
- Smart cards, como é o caso do Cartão de Cidadão. No entanto, implica a aquisição de leitores para interacção com o computador. Podem ser usados como substituição da tradicional palavra-passe ou como mecanismos de segurança adicional (multi-factor);
- Tokens USB criptográficos, em tudo similares, a nível de funcionamento, aos smart cards do Cartão de Cidadão, mas sem a necessidade de leitores adicionais;
- Ubikey, que é um dispositivo que suporta criptografia e que permite a autenticação dos utilizadores com um nível de segurança adicional (multi-factor).
No entanto, todas estas soluções, implicam a aquisição de um equipamento extra para cada utilizador, além da integração mais ou menos pesada, nos portais em que se pretende um aumento de segurança, podendo-se ou não deixar de utilizar completamente as palavras-passe! Outro problema é que não garantem uma transição pacífica e suave, por parte do utilizador, para os diversos sites que visita no seu dia-a-dia.
Existe solução?
A ideia é conseguir aumentar a segurança, sem a necessidade de adquirir um equipamento adicional para todos os utilizadores. O que é que todas (ou quase) as pessoas detêm e que tem capacidades computacionais? Pois é, o smartphone! Foi com esta ideia em mente que a KualityAttribute criou o loqr (lê-se Locker).
O que é o loqr?
O loqr é uma nova solução de autenticação, de simples utilização, baseada em tecnologia QR Code (chamam-lhe Unlock Codes), criptografia e smartphones. Na sua solução mais básica, ou Single Factor, continua-se a utilizar palavras-passe, mas de uma forma mais transparente, “user-friendly” e segura. Destacam-se as seguintes características:
- Simplicidade: com o loqr, o smartphone é o centro da solução de autenticação. Basta apontar a câmara do smartphone para o Unlock Code e a autenticação é feita;
- Transparência: com esta App, o smartphone passa a ser um Gestor de Palavras-passe, sem a necessidade de encontrar ou mesmo conhecer a palavra-passe de cada site, pois o loqr faz isso automaticamente;
- Segurança: as palavras-passe são cifradas com AES-256 e só são guardadas no smartphone, sendo que a autenticação é feita usando o smartphone e nunca o teclado, nem o rato.
Para o utilizador final, funciona um pouco como por magia, aponta-se a câmara do smartphone ao ecrã do computador e em segundos é feito login, sem a necessidade de introduzir o nome de utilizador ou a palavra-passe. No vídeo abaixo pode ver uma demostração da utilização do loqr.
Como funciona o loqr?
O funcionamento do loqr é bastante simples. Existe um “cofre” digital com todos os campos (nome de utilizador, palavra-passe, site e “token” adicional para as situações multi-factor).
No caso de ser uma solução integrada, aparece automaticamente o Unlock Code (Sing-in with loqr) integrado na página Web (recorrendo a uma extensão do Google Chrome ou Safari). Depois, com a aplicação instalada no smartphone é possível autenticar sem a introdução de qualquer informação necessária ao login, no entanto continua a ser necessário a introdução de dados quando há factores adicionais de segurança (autenticação multi-factor), como é o caso da banca em geral.
Nos restantes casos, ou seja, na maioria dos websites, o utilizador/palavra-passe é mascarado através de um plugin que detecta o pedido de credenciais e gera um novo Unlock Code. É neste caso, em que há um acesso ao “cofre” digital do smartphone, que é feita uma associação com o site em causa, sendo depois fornecido esse par de dados que permite fazer a autenticação, enviado da app do smartphone via ligação segura para a extensão utilizada no Google Chrome ou Safari. Simples, não?
Por Pedro Tarrinho, Security Enthusiast