O que podemos aprender com o roubo de dados do yahoo

Todos os sites perguntam as mesmas questões e as respostas são sempre as mesmas. Uma comida favorita ou a cor de um carro não mudam

Jan Valcke*
05 de Outubro de 2016 – 17h49

Outra semana, outro ataque de hackers nas manchetes. Desta vez, foi o Yahoo. A empresa admitiu que dados pessoais de 500 milhões de usuários foram roubados. Nomes, endereços e números de telefones que estavam na rede corporativa ficaram comprometidos já em 2014.

Algumas fontes dizem que os sistemas de computação e as contas de e-mail dos usuários do Yahoo já haviam sido hackeados por chineses há seis anos. O Google e diversas outras empresas de tecnologia também já foram alvos. O cofundador do Google, Sergey Brin, considerou aquele ataque um insulto pessoal e respondeu imediatamente fazendo da segurança uma prioridade. A companhia contratou centenas de engenheiros de segurança e investiu milhões de dólares em infraestrutura de proteção. “Nunca outra vez” se tornou o lema interno.

O Yahoo, por outro lado, respondeu de forma bem mais lenta. Quando Marissa Mayer assumiu o cargo de CEO em 2012, a segurança era um dos problemas que ela herdou. Nos anos seguintes, a equipe de segurança da empresa entrou com frequência em confronto com outros departamentos em razão do custo da segurança. A companhia irá se arrepender das escolhas que fez.

Agora, o que é interessante sobre esse roubo, é que também questões de “segurança” e respostas foram furtadas. Coloquei “segurança” entre aspas porque, obviamente, essa forma de autenticação baseada em conhecimento é tudo, menos segura.

Questões simples como “Qual a sua comida favorita?”, “Qual o nome de seu cão ou gato?” e “Qual a cor de seu carro?” não oferecem proteção alguma. Todos os sites perguntam as mesmas poucas questões e as respostas dos usuários são evidentemente sempre as mesmas. Uma comida favorita ou a cor de um carro não mudam.

Estou falando o óbvio quando digo que essa tecnologia de 30 anos é totalmente obsoleta. O sistema de autenticação baseado no conhecimento, não importa se relacionado a questões de segurança ou a senhas estáticas, entrega uma proteção fraca. Ainda assim, eu permaneço uma voz gritando no deserto a julgar pelos roubos que surgem a cada semana.

Não há duvida de que nós necessitamos abandonar o emprego de elementos estáticos e irmos em frente utilizando informação dinâmica. Senhas de uso único e fator duplo de autenticação, naturalmente, são alternativas evidentes. Existem aplicações para smartphones que geram essas senhas. Cada site pode facilmente integrar o fator duplo de autenticação. Agora é a hora certa de ser eficaz.

O futuro reside na “autenticação com base no risco” e no uso crescente de smartphones. Com base em diversos parâmetros, um perfil pode ser construído envolvendo a identidade da pessoa e a sua confiabilidade. O telefone foi desbloqueado? A pessoa acessou do mesmo lugar? Dados biométricos estão disponíveis? Com base nessas informações se determina se o usuário é confiável ou não.

No caso de haver qualquer dúvida, uma solicitação adicional de segurança é feita. Especialmente quando se trata de operações de grande risco, como a criação de uma nova conta ou a edição de um perfil (como mudanças de endereço ou do número do telefone) e certamente se transações monetárias ou compras online ou por meios moveis estão envolvidas, a segurança deve ser supervisionada muito de perto.

O analista Avivah Litan, do Gartner, afirmou que a autenticação não é mais uma simples história de sim ou não. E eu concordo totalmente. Uma senha não é mais suficiente para verificar a identidade de uma pessoa. Precisamos nos mover em direção a caminhos nos quais a informação dinâmica é empregada. E já estamos passando da hora.

Jan Valcke é presidente e COO da Vasco Data Security.

Fonte: Computerworld