Protegendo a sua identidade digital

Steven Sinofsky


Vivemos em um mundo de nomes de usuários, senhas e PINs quando se trata de dispositivos de computação conectados à Internet. São elementos muito importantes da economia digital e criar uma infraestrutura para eles no Windows é um trabalho sério. Esse trabalho começa com a etapa mais básica, que é a entrada no Windows, e inclui as tecnologias usadas para proteger as inúmeras contas que você virá a usar ao longo do tempo. Veremos, nesta postagem, os aperfeiçoamentos na arquitetura do Windows que permitem um gerenciamento ainda mais seguro das suas várias senhas. Dustin Ingalls, o autor desta postagem, é gerente de programas de grupo e faz parte da equipe de segurança e identidade.

–Steven

Um dos desafios em que passamos muito tempo pensando durante o planejamento do Windows 8 foi como ajudar você a gerenciar a sua identidade digital de forma prática e segura. No mundo atual, há inúmeros detalhes muito interessantes a respeito das identidades digitais, como elas são usadas e como são protegidas.

Hoje em dia, a maneira mais comum de verificar a identidade digital de uma pessoa é pelo uso de senha. As senhas são usadas para entrar no seu computador, banco e lojas online, além de muitos outros lugares. Nossa pesquisa mostrou que, em média, uma pessoa que usa PC nos Estados Unidos normalmente tem 25 contas online.(1) É muita coisa para controlar! Aliás, os dados também mostram que, nessas 25 contas, o número de senhas únicas é de apenas 6. Para quem gasta muito tempo pensando sobre segurança, trata-se de uma descoberta preocupante porque mostra que as pessoas normalmente usam a mesma senha com frequência em diferentes contas. Além disso, como diferentes sites têm diferentes políticas de senha (há aqueles que exigem caracteres alfanuméricos e especiais, os que não permitem caracteres especiais, os que têm limite de comprimento mínimo, os que não têm etc.), provavelmente o número de senhas únicas para contas distintas seria até menor se os sites tivessem as mesmas políticas de senha.

No entanto, isso é totalmente compreensível. Lembrar de várias senhas diferentes é difícil, especialmente de contas que não usamos com frequência. Por outro lado, o uso da mesma senha para contas diferentes é muito útil para os hackers... eles sabem que, se conseguirem descobrir a senha que você usa para um site, a probabilidade de você usar a mesma senha em outros sites é muito grande. O que é pior, um invasor pode usar as suas informações de entrada para redefinir a senha de outras contas cuja senha é diferente. Por exemplo, se um invasor conseguir, de alguma forma, obter acesso à senha de uma de suas contas, há uma grande probabilidade de que você use essa mesma senha em uma das sua contas de email na Web. Como não há muitos provedores de email na Web, descobrir o seu será fácil. Tendo obtido acesso ao seu email, o invasor poderá entrar em outros sites comuns (grandes bancos, grandes lojas online etc.) e usar o recurso de "perda de senha" para enviar um link de redefinição de senha para a conta de email invadida.

(Abrindo parêntese, a equipe do Hotmail empenhou muito esforço na reformulação do processo de recuperação de senha do Hotmail. As pessoas mal-intencionadas tentam invadir de várias maneiras as contas online de todos os provedores. Com o Hotmail não é diferente. Quando a sua conta é invadida (ou você esquece a senha), temos várias etapas de segurança para garantir que você, apenas você, possa restaurá-la. Embora isso possa parecer inconveniente, considere a quantidade relativamente pequena de informações que você forneceu para se inscrever. É por isso que encorajamos as pessoas a adicionar uma conta de email secundária ou, melhor ainda, um número de telefone celular às informações de sua conta. O número do celular é mais difícil de ser duplicado ou descoberto. Se a sua conta do Hotmail for invadida, você poderá redefinir a sua senha. Encorajamos aqueles que usam terminais públicos ou ambientes não confiáveis para acessar o Hotmail a utilizar uma senha de uso único enviada por SMS.)

Claramente, a estrutura geral de nome de usuário/senha leva a um conjunto de desafios interessantes. Todos nós desejamos que a Web seja livre simples, fácil e segura. Ter que lembrar de várias senhas complexas normalmente não é considerado simples. No entanto, usar a mesma senha fácil de se lembrar para vários sites não é seguro. A solução ideal aqui envolve encontrar uma maneira que seja fácil e segura de usar todas as suas diferentes identidades digitais.

Refletindo sobre esse desafio, há duas abordagens básicas para facilitar e tornar mais seguro o gerenciamento da sua identidade digital. Uma abordagem é habilitar o Windows para ajudar a gerenciar as senhas. Se você pudesse ter senhas únicas e complexas para cada site que visitar sem a necessidade de se lembrar de todas elas, seria melhor do que ter uma única senha fácil de se lembrar. Ao mesmo tempo, a senha complexa dificultaria muito a descoberta da sua identidade pelos hackers. Outra abordagem é usar um método diferente da senha para proteger e estabelecer a sua identidade. Faz anos que há várias alternativas às senhas disponíveis, como as tecnologias OTP (senhas de uso único), certificados, cartões inteligentes etc. No entanto, apesar de algumas propriedades de segurança superiores dessas alternativas, o uso delas não se popularizou, principalmente porque elas não são tão fáceis de usar como uma senha.

Com o Windows 8, damos suporte ao armazenamento seguro de combinações de nome de usuário/senha e tecnologia para permitir uma autenticação alternativa. Ou seja, tentamos facilitar para você o aumento da segurança das suas senhas e o uso de técnicas mais novas e fortes para proteger a sua identidade digital.

Desvantagens das senhas

Há vários métodos diferentes usados pelos invasores para tentar obter a sua senha. Estes são os mais comuns:

Phishing. O phishing engana o usuário fazendo-o revelar sua senha diretamente para o invasor. As formas comuns de phishing incluem emails com assunto "favor redefinir a sua conta" que solicitam que a pessoa envie a senha ou apresentam um link para um site parecido com um site popular que solicita a inserção da senha.

Adivinhação. Como as pessoas naturalmente preferem senhas fáceis de lembrar, os invasores frequentemente conseguem obter acesso a uma conta, percorrendo as principais 10 ou 20 senhas mais comumente usadas na Internet.Os invasores também poder fazer uso de informações públicas (talvez com base no seu perfil público de rede social) para descobrir outras senhas fáceis de adivinhar de acordo com, por exemplo, o seu time favorito ou animal de estimação.

Quebra de senha. Em algumas situações, um invasor pode capturar um trecho de dados (normalmente o valor de hash da senha) e usá-lo para deduzir a sua senha. Há recursos gratuitos na Internet que podem ser baixados e permitem aos invasores deduzir senhas com menos de 8 caracteres de comprimento de forma muito rápida.

Keylogging. Se um invasor conseguir instalar um keylogger em um dispositivo, ele poderá registrar cada tecla que você pressionar no teclado e obter combinações de nome/senha facilmente. Esse ataque é especialmente comum em PCs públicos ou quiosques. (É por isso que, por exemplo, o uso de um código de uso único no Hotmail é uma boa ideia nessas situações!)

Aperfeiçoando a segurança e a usabilidade de senhas

Há várias etapas importantes que você pode seguir para ajudar na proteção contra todos esses tipos de ataques. Uma das mais importantes é manter o seu PC limpo e livre de malware (para evitar o phishing e o keylogging). O Windows 8 inclui vários recursos importantes nessa área e que já abordamos em postagens anteriores do blog (Inicialização segura, SmartScreen e melhorias no Windows Defender etc). No entanto, alguns ataques (como adivinhação e quebra de senha) dependem somente do nível de força da senha, portanto, é importante usar senhas fortes e complexas exclusivas para cada conta.

O Windows 8 simplifica a tarefa de gerenciar senhas únicas e complexas de duas maneiras importantes. A primeira é fornecer uma forma de armazenar e recuperar vários nomes de contas e senhas automaticamente de todos os sites e aplicativos que você usa de modo seguro. O Internet Explorer 10 usa as credenciais que armazenamos para lembrar os nomes e senhas dos sites que você visita (se você optar por isso). Além disso, qualquer um que criar um aplicativo estilo Metro poderá usar uma API direta para armazenar e recuperar as credenciais desse aplicativo de forma segura. (É importante observar que o IE respeita as instruções dos sites sobre o armazenamento das credenciais. Alguns sites solicitam que as senhas não sejam salvas.)


O Windows 8 permite que você armazene e gerencie, de forma segura, todas as suas credenciais de entrada

O segundo investimento importante nessa área foi abordado em uma postagem escrita por Katie Frigon, Entrando no Windows 8 com um Windows Live ID. Uma das vantagens de se entrar no Windows com o Windows Live ID é a capacidade de sincronizar as credenciais que você armazenou para todos os PCs com o Windows 8 registrados por você como "PCs confiáveis".

Ao armazenar credenciais vinculando-as com a entrada no Windows com o Windows Live ID, o Windows permite que você crie uma senha para cada conta que seja complexa e exclusiva; como o Windows 8 enviará automaticamente a credencial em seu nome, você nunca precisará se lembrar dela. Se precisar ver a senha real futuramente, você poderá exibi-la no gerenciador de credenciais mostrado aqui, usando um dos PCs confiáveis.

Os mesmos princípios que mantêm suas credenciais mais seguras em sites e aplicativos também se aplicam ao modo como você entra no PC. A senha usada para proteger a conta no seu PC deve ser à prova de adivinhação e quebra. O Windows 8 ajuda nisso, dando assistência para que você crie uma senha muito forte para entrar e permitindo, ao mesmo tempo, vários métodos práticos de entrada, como Senha visual e biometria. Isso facilita a entrada no PC, sem prejudicar a segurança. Abordaremos a Senha visual e outros métodos de entrada de forma mais detalhada em uma postagem futura.

Vale reiterar que entrar no PC com um Windows Live ID, além de facilitar a entrada, também oferece maior segurança e permite um caminho claro para a recuperação em caso de esquecimento da senha do Windows. Com uma senha local, se você esquecê-la, a sua situação ficará complicada. Se não tiver criado uma recuperação de senha via USB, a única solução será reformatar o seu computador do zero. No entanto, se entrar no seu PC com uma Windows Live ID, você poderá redefinir a sua senha usando outro PC. Caso a sua senha do Windows Live ID seja roubada, você ainda terá vários recursos de segurança do Windows Live criados para detectar o comprometimento e limitar o uso da sua conta até que você possa provar que é o proprietário legítimo da conta e recuperá-la. O fluxo de trabalho da recuperação da conta usa recursos de autenticação de dois fatores (verificação de conta secundária) definidos por você anteriormente , como o número do telefone celular ou endereço de email secundário (se você não tiver definido nenhum deles, solicitaremos que defina na primeira vez que usar o Windows Live ID com o Windows 8). Além disso, mesmo que o seu Windows Live ID também tenha sido comprometido, você continuará tendo total acesso ao seu PC, pois o Windows armazenará em cache a sua última senha de entrada "reconhecida como boa" (criptografada, é claro) e permitirá que você a use para continuar entrando.

Criando uma alternativa às senhas que fosse fácil de usar

Embora uma senha complexa e única possa ser altamente resistente à adivinhação e à quebra, por ser uma chave "compartilhada" ou "simétrica", ela ainda é sempre vulnerável ao phishing e keylogging. Como a chave é compartilhada entre você e o lugar em que você está entrando, se o invasor conseguir acesso à sua chave secreta, o jogo acabou. Entretanto, há alternativas que oferecem uma proteção forte contra esses tipos de ataques.

Uma alternativa são os pares de chave pública/privada. Os certificados SSL ou TLS são um exemplo disso. Eles são os métodos usados mais comuns para proteger o tráfego de rede na Internet hoje. Os pares de chave pública/privada diferem das senhas por serem uma chave "assimétrica". A chave privada e a chave pública são diferentes e a descoberta da chave pública não permite que o invasor deduza qual é a chave privada. Simplificando, em um esquema de entrada de chaves pública/privada, quando você deseja entrar em um serviço, ele lhe envia uma solicitação de entrada, você assina essa solicitação com a sua chave privada e o serviço então usa a sua chave pública para ler a assinatura, provando, de forma criptográfica, que a solicitação de entrada foi assinada por quem retém a chave privada correspondente. Isso é conhecido como "comprovante de posse". Contanto que você não perca a sua chave privada, há uma prova criptográfica forte de que você é o titular real da conta que está entrando no serviço. Como a chave privada real nunca é fornecida, o keylogging e o phishing deixam de funcionar. Não há pressionamentos de tecla a serem registrados. No pior dos casos, se um usuário for induzido a usar sua chave privada para assinar uma solicitação de autenticação em um site falso, nada de útil será fornecido, pois os malfeitores não poderão reutilizar essa informação para entrar no site legítimo.

Embora essa tecnologia seja muito usada na Internet hoje em dia, ela ainda não substituiu a entrada convencional por meio de senha. Por que não? A principal razão é que a proteção forte de uma chave privada normalmente exige hardware dedicado (exemplos típicos disso são os HSMs (módulos de segurança de hardware) e cartões inteligentes) e, historicamente, o uso desse hardware não é muito prático. Se você perder o hardware ou não o tiver consigo, não poderá entrar.

O Windows 8 tem vários novos recursos que tornam muito mais fácil para usuários e desenvolvedores de aplicativos o uso de métodos de chave pública/privada. O Windows já oferece suporte bastante extensivo ao uso de pares de chaves e certificados; mas a proteção forte da chave privada, como já mencionei, normalmente dependia de HSMs ou cartões inteligentes. O Windows 8 inclui um novo KSP (provedor de armazenamento de chave), que proporciona um uso fácil e prático do TPM (Trusted Platform Module), como forma de proteger firmemente as chaves privadas. Um TPM é um ambiente de execução confiável encontrado hoje em vários PCs de classe executiva (e esperamos uma disponibilidade muito mais ampla dos TPMs quando o Windows 8 for lançado) que permite que um PC armazene chaves criptográficas de forma segura. Os aplicativos estilo Metro possuem APIs que facilitam o registro e o gerenciamento de chaves em seu nome automaticamente. O Centro de Desenvolvimento do Windows oferece um exemplo de aplicativo bancário que mostra aos desenvolvedores como usar esta API.

O recurso KSP é especialmente útil para aplicativos bancários e comerciais por fornecer resiliência muito forte contra os tipos mais comuns de ataques de identidade na Internet hoje em dia usando o hardware do seu PC para impedir que um malware roube sua chave privada.

Para as organizações e empresas que já usam cartões inteligentes, implementamos um novo recurso que se sobrepõe ao recurso TPM KSP e permite que o TPM funcione como um "cartão inteligente virtual". Essa solução é mais prática e econômica porque você não precisa de um leitor de cartão inteligente físico, mas a implantação também é mais fácil porque o cartão inteligente virtual funciona com as soluções de gerenciamento e os aplicativos de cartão inteligente já existentes. O cartão inteligente virtual pode ser usado no lugar dos cartões inteligentes existentes com qualquer aplicativo ou solução que seja compatível com os cartões inteligentes. Não é necessária nenhuma alteração no servidor ou aplicativo. Além disso, o Windows 8 continua dando suporte a cartões compatíveis com os padrões PIV (verificação de identidade pessoal) ou GIDS (especificação de dispositivo de identidade genérico). Usando esses padrões, a implantação de cartões inteligentes é realizada de forma muito mais fácil no Windows 8. Todas essas opções estão disponíveis para a entrada no Windows (em PCs que ingressaram no domínio), aplicativos, sites, ou seja, tudo o que antes podia ser acessado com o uso de um cartão inteligente físico. Este breve vídeo mostra isso em ação após a configuração via política ou script de logon realizada pelo seu administrador.

Em um mundo que está se tornando cada vez mais dependente da manutenção de uma identidade digital segura, estamos muito entusiasmados em descobrir maneiras de tornar a sua vida digital mais segura e protegida, sem torná-la mais complexa. Empregamos muito tempo e concentração nesse aspecto do Windows 8 e desejamos muito receber os seus comentários!

- Dustin Ingalls

(1) Fonte: Dinei Florencio e Cormac Herley, A Large Scale Study of Web Password Habits (Estudo em grande escala sobre os hábitos relacionados a senhas na Web), Microsoft Research. 2007