Eternally stuck in beta version

Information Cards: Uma revolução nas senhas?

cone do InfocardA empresa onde eu trabalho tem implantado gradativamente, desde o começo do ano, um programa chamado single sign-on. A intenção é acabar com um problema extremamente freq¼ente — e extremamente perturbador, diga-se de passagem: Esquecer as senhas.

Vamos admitir: Quem nunca esqueceu uma senha na vida deve jogar as mãos para o céu e agradecer. Afinal de contas, mais do que a enorme quantidade de sistemas offline que necessitam de autenticação — e que, no caso da empresa onde estou foi o grande motivador para o single sign-on —, a Internet é um grande player nessa história: Por causa dela nós vivemos de cliques e de senhas, não é mesmo? E basta um único serviço que não usemos por algum tempo e lá vamos nós esquecer uma senha e ter transtornos.

A solução para esse tipo de problema, muitas vezes, é usar uma única senha para todos os sites. Na prática, apesar de ser mais fácil, é menos seguro, todos sabemos disso. Afinal, alguém que descubra sua senha poderá invadir todos os sites que você usa e fazer sabe-se lá o que. Na prática, conforme diz Paul Trevithick, praticar esse hábito é quase como não ter senha nenhuma.

Mas quem é Paul Trevithick, afinal? Ele é o presidente da Information Card Foundation, empresa que pretende revolucionar a forma como nos autenticamos nos diversos sites que visitamos. A chave para que isso aconteça está no uso dos chamados information cards, ou simplesmente i-cards, cartões eletrônicos que os internautas baixariam para suas máquinas locais, e usariam diretamente a partir de seus navegadores, se autenticando e verificando seus acessos através de um código PIN — personal identification number, tal como nos celulares — remotamente validado sempre que entrassem em um site compatível.

I-Cards na prática

Os membros da fundação que defende o uso dos i-cards — entre os quais gigantes como Google, Microsoft, Novell e Oracle — acreditam que a prática melhoraria consideravelmente a segurança dos usuários, principalmente no que diz respeito a combater o phishing, processo pelo qual vários sites que agem de má fé tentam se passar por empresas honestas, visando obter senhas e demais informações sensíveis dos internautas menos avisados.

Para prover maior segurança na prática, o sistema de i-cards tem que sincronizar cada transação entre três participantes: Numa ponta o usuário com seu i-card, que solicita uma conexão criptografada com um fornecedor de identificação (como um banco ou empresa de cartão de crédito) e também com a parte relevante (que, neste caso seria uma faculdade, site financeiro ou de comércio eletrônico). Nada acontece enquanto estas conexões não estiverem realizadas em tempo real.

Espero que, já que essa iniciativa está sendo puxada por gente grande, ela decole. Se será uma solução final para os problemas de segurança, eu não sei, e até duvido. Mas é bom termos novidades deste porte em breve. Só não sei quanto tempo levará para um padrão desses atingir escala mundial… mas aí é outra história.


Reader Comments

  1. O livro Lifehacker tem uma dica interessante para quem se perde com senha (todo mundo?): usar uma string fixa e uma que varia de acordo com o serviço. Mais ou menos assim:

    senha do flickr: fli2008
    senha do gmail: gma2008
    senha do icq: icq2008

    Quando você cria um padrão, não precisa memorizar todas as senhas, basta memorizar o padrão. Mas eu não fiz isso ainda, confesso. E como tenho 3 usernames, me perco usando os três.

    Gostei da idéia dos i-cards, de qualquer forma. Tomara que pegue!

  2. Mas, ainda sim dúvido dessa ideia de i-cards. Um hacker poderia muito bem se passar por você e garantir o acesso. Eu sou mais a ideia de ter um padrão de senha, que só você sabe como criou e portanto só você saberá como ficaria cada senha.

    []s

  3. Olá Daniel,

    Sou muito fã de Single Sign-on. Trabalho em um framework para gerenciamento remoto de máquinas e implementei um módulo de autenticação e autorização que utiliza Kerberos 5. A idéia de fazer SSO com Kerberos é exatamente diminuir a quantidade de senhas e, ainda por cima, garantir uma segurança extra, já que Kerberos funciona por tickets e as informações de usuário/senha não trafegam pela rede.

    É mais ou menos como este modelo apresentado. Também são três pontos (usuário, serviço e kdc) e só existe sucesso se, depois de todas as trocas de tickets, a relação de confiança for estabelecida.

    Abraços,

  4. @aissegoo: Você tem uma certa razão, eu tenho que admitir. No entanto, é bom lembrar que mesmo na história das frases para senhas, ou dos padrões para senhas, estamos sujeitos às falhas de segurança…

    Na prática, nenhum processo de segurança é 100% garantido, não é mesmo??

    Abração!

  5. @Neto Cury: Pois é, cumpádi… alguns hábitos são mesmo muito difícies de se largar, eu sei como é. Talvez, se esse sistema de i-cards se tornar mesmo popular, você acabe mudando de idéia, hehehe.

    Abração!

  6. @Otávio: Cara, eu já ouvi falar do Kerberos, e não o conheço muito a fundo. No entanto, sei da sua capacidade de proteger informações, e sou a favor de qualquer coisa que funcione no mesmo sentido dessa linha.

    Bacana saber que você está envolvido num sistema similar ao dos i-cards… uma baita coincidência, hein?

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *