Parece que quase todos os dias sai nas manchetes que há uma nova brecha de dados. De serviçõs bancários a conversar com amigos, a pessoa média passa mais de 10 horas on-line todos os dias. No entanto, a maioria dos sites ou recursos on-line que utilizamos diariamente - do Facebook ao Gmail - são protegidos usando uma senha simples.

A maioria das violações de segurança ocorre por causa de algum tipo de fraqueza humana. Uma senha pode ser muito fácil de adivinhar, pois estudos mostram que 10.000 das senhas mais comuns, como 123456 ou qwerty, podem acessar 98% de todas as contas.

Outros pontos de falha originam-se de pessoas que deixam seus navegadores abertos em computadores públicos, escrevendo senhas no papel ou em um arquivo em seus computadores ou simplesmente sendo enganados para entregar seus dados de login.

Embora saibamos o que são senhas seguras, tendemos a ignorar esse conhecimento em favor da utilização de senhas fáceis de lembrar porque o medo de esquecer é mais forte do que o medo de ser pirateado.

Vazamento de dados fazem as manchetes

Desde o primeiro uso de uma senha em 1961 pelo Instituto de Tecnologia de Massachusetts (MIT na sigla em ingês), os sistemas de autenticação percorreram um longo caminho. Hoje, os computadores modernos usam uma forma de hash referida como "salting" (sal). No entanto, como muitas senhas são excessivamente simples e muitos sistemas permitem que um usuário adivinhe várias vezes, os sistemas baseados em senha continuam vulneráveis a hackers.

Em 2011, os hackers roubaram 77 milhões de senhas da Sony PlayStation Network. Em 2012, 400.000 endereços de e-mail do Yahoo! foram hackeados. O iCloud da Apple também foi vulnerável a hacks de senha, o que levou à infame pirataria de fotos de celebridades de 2014. Durante o mesmo ano, cinco milhões de senhas do Gmail foram pirateadas e lançadas online. Estes são apenas exemplos selecionados da enorme lista das maiores brechas de dados do mundo, que são exibidas em uma visualização aqui.

Gerenciadores de senhas podemo falhar também

É esse contexto que impulsionou a popularidade dos gerenciadores de senhas como o LastPass ou o 1Password, em que usuários gratuitos sempre têm que se lembrar de suas senhas. Esses gerenciadores também podem criar senhas aleatórias fortes para cada conta online.

No entanto, o problema de usar um thord party baseado na Web para armazenar senhas é que eles também podem ser pirateados, como foi o caso do LastPass em 2015. A plataforma sofreu uma violação de dados que expôs os endereços de e-mail dos usuários, senhas criptografadas e sugestões de lembrete de senhas.

Como explicamos em um artigo anterior, "O LastPass certamente tomou muitas precauções de segurança, e algumas funcionaram. Por exemplo, o LastPass nunca teve acesso às senhas mestre dos clientes em cleartext. Mas eles armazenaram outras informações sobre usuários em cleartext e é essa informação comprometedora que pode ser usada para adivinhar senhas mestre fracas ".

Nomes de usuário e senhas obsoletas

O mundo da criptomoeda foi relativamente rápido na aceitação de logins da Web sem senha. Começou quando a Satoshi Labs ofereceu aos usuários o Trezor Connect, que permite fazer login em sítios participantes simplesmente conectando uma carteira de hardware.

A comunidade de criptomoedas também mostrou grande emoção recentemente no primeiro Secure Quick Reliable Login (SQRL) do mundo que utiliza códigos QR e a criptografia de chave pública por trás do Bitcoin para conseguir logins sem senha.

Esses dois desenvolvimentos, por si só, provam que os nomes de usuários e as senhas estão longe de serem necessários para alcançar relacionamentos seguros entre cliente-servidor on-line.

Blockchain ao resgate

Um problema maior é a arquitetura centralizada do banco de dados armazenando logins e senhas em um servidor. O que significa que, se for pirateado, todos os dados podem ser acessados de uma só vez. Infelizmente, mesmo a Autenticação de Duas Etapas (2FA na sigla em inglês) foi comprovada como penetrável através da engenharia social.

A REMME é uma startup que busca tornar as senhas obsoletas, eliminando assim o fator humano do processo de autenticação e, portanto, impedindo que tais ataques aconteçam. A REMME afirma que, ao resolver o problema dos servidores centrais que podem ser hackeados, ataques maliciosos, como violação de phishing, servidor e senha, e a reutilização de senha tornar-se-ão inúteis.

Em vez de uma senha, a REMME dá a cada dispositivo um certificado SSL específico. Os dados do certificado são gerenciados no Blockchain, então um certificado falso nunca funcionará. Ao usar este método, a inicialização se livrou do servidor de autenticação e do banco de dados de senhas. Como conseqüência, os hackers não têm nenhum alvo potencial no servidor central, o que significa nenhum ponto fraco. A REMME garante "proteção de 100% contra ataques comuns".

Isso exigirá apenas uma instalação rápida, que de acordo com a empresa, permitirá que "clientes potenciais economizem custos na integração". A startup ainda oferece 2FA para um nível de segurança adicional, com aplicativos já tenham instalaram e confiam, bem como aplicações corporativas móveis.

O objetivo deste sistema é construir uma administração de infraestrutura de chave pública (PKI na sigla em inglês) distribuída em cima do padrão x.509 usando o Blockchain. Este conjunto de políticas tem o potencial de ajudar muitos segmentos a resolver o problema das falhas de segurança