WebAuthn: Usuários ainda têm dúvidas sobre fazer login sem senha
WebAuthn
Com a adesão de empresas como Microsoft, Google, Mozilla e eBay ao padrão de segurança WebAuthn, cresce a preocupação na comunidade da ciência da informação sobre alguns preconceitos que ainda perduram e se disseminam sobre essa nova tecnologia de segurança.
O WebAuthn, acrônimo para “autenticação na Web”, faz parte do novo padrão FIDO2, que visa tornar as senhas obsoletas.
Hoje, quando os usuários desejam efetuar login em um serviço, eles inserem um nome de usuário e uma senha. A ideia é que os usuários passem a se autenticar simplesmente usando seu dispositivo. Para garantir que uma pessoa que encontre um celular perdido não consiga entrar em todos os tipos de serviços, os usuários precisam confirmar o processo de login por um PIN ou por biometria.
“Não é surpreendente que isso possa criar a impressão de que os dados biométricos são transmitidos para o site no qual você deseja fazer login, semelhante a uma senha. Mas isso é um equívoco,” explica a professora Leona Lassak, da Universidade Ruhr, na Alemanha.
Biometria local
Em vários experimentos online, a equipe da professora Lassak pediu que voluntários testassem a nova tecnologia de segurança da informação e dessem suas primeiras impressões e suas preocupações com seu funcionamento no tocante à usabilidade, segurança e privacidade.
Quase 70% dos entrevistados não tinham certeza ou acreditavam erroneamente que seus dados biométricos seriam compartilhados com o site que estavam tentando acessar.
“Para o usuário, parece que ele está se conectando ao serviço online com sua impressão digital. Na verdade, sua impressão digital apenas desbloqueia uma chave criptográfica, que é armazenada no aparelho do usuário e então usada para o login real,” esclarece Lassak.
Biometria e PIN
Outro problema surge quando o sensor de impressão digital não funciona. Na verdade, é possível usar o PIN do celular como método alternativo. No entanto, como a interface do usuário não deixa essa opção muito clara, 60% dos usuários pensaram que perderiam o acesso à conta nesse caso.
Os pesquisadores também perguntaram se os participantes sentiriam que suas contas estavam seguras se seu celular fosse roubado: 93% dos entrevistados se sentiram suficientemente protegidos devido à sua biometria, mas não sabiam que um invasor também poderia obter acesso às suas contas adivinhando o PIN do celular.
Ao tentar esclarecer os usuários, contudo, a equipe descobriu que não é muito eficaz destacar as desvantagens das senhas ou mencionar as empresas confiáveis que ajudaram a desenvolver o padrão WebAuthn.
“O mais eficaz para lidar com os equívocos é comunicar explicitamente que os dados de impressão digital e rosto nunca são transmitidos para o site,” explica a pesquisadora Annika Hildebrandt, membro da equipe.
Bibliografia:
Artigo: Mitigating users’ misconceptions about FIDO2 biometric WebAuthn
Autores: Leona Lassak, Annika Hildebrandt, Maximilian Golla, Blase Ur
Revista: Proceedings of the 30th USENIX Security Symposium
Link: https://www.blaseur.com/papers/fido2biometrics-extended.pdf
Origem: Inovação Tecnológica
mpperes@guiadocftv.com.br – GuiadoCFTV
Por favor avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?
Gostaria de sugerir alguma notícia ou entrar em contato, clique Aqui!
Importante: Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’