Neste ano, sites populares confirmaram o vazamento das senhas de seus
usuários provocando várias discussões sobre a segurança da informação na
Internet. “É muito fácil deduzir o login de alguém porque geralmente é o
e-mail ou CPF e para descobrir uma senha depende do grau de dificuldade de
composição porque às vezes as pessoas usam combinações de fácil dedução como
data de nascimento, placa de veículos, entre outros. Além disso, os crackers
têm vários recursos para quebrar uma senha, ou seja, uma pessoa pode
facilmente se passar pela outra. Há muitas fragilidades no sistema de login
e senha”, destaca o assessor técnico da Diretoria de Infraestrutura de
Chaves Públicas do Instituto Nacional de Tecnologia da Informação (ITI), Ruy
Ramos.
A analista em Tecnologia da Informação do ITI, Alessandra Lima explica que,
tradicionalmente, os sistemas de computadores utilizam login e senha para
acesso à Internet, onde um formulário é criado para o usuário preenchê-lo.
“Os dados percorrem vários caminhos na Internet até chegar ao servidor de
destino que o solicitou. Uma pessoa mal intencionada pode interceptar esses
dados durante o tráfego para utilizá-los em benefício próprio, ou para
alterá-los. O login e a senha são armazenados em arquivos ou em bancos de
dados nem sempre de forma criptografada (informação em código, cifrada)”.
De acordo com Ruy Ramos, a maneira que o governo brasileiro
institucionalizou para garantir autenticidade, confidencialidade,
integridade às informações do cidadão na rede mundial de computadores é o
uso do certificado digital. Esta ferramenta pode ser um cartão com chip
inserido em uma leitora conectada ao computador ou token diretamente
conectado a uma porta USB, garantindo também validade jurídica aos atos
praticados com seu uso, o que permite aplicações como comércio eletrônico,
assinatura de contratos, operações bancárias, iniciativas de governo
eletrônico, entre outras.
Alessandra Lima também explica que o processo operacional de uma
autenticação feita com certificado digital é mais sofisticado. “Durante a
troca de dados e a navegação na rede são utilizadas duas chaves: uma pública
e outra privada, sendo esta conhecida pelo titular apenas. Emitido por uma
Autoridade Certificadora, o certificado funciona como um passaporte digital
associando a identidade física com uma chave pública criptográfica. Ao se
aliar o certificado digital à criptografia, os dados navegam de forma mais
segura na Internet”.
O assessor da presidência do ITI, Sérgio Cangiano reforça que o uso do
cartão magnético ou token com certificação digital não transmite a senha na
Internet, permanecendo no dispositivo, como chave privada. “Os dados do
titular e a senha não ficam armazenados em servidores, pelo contrário, ficam
apenas no token ou cartão com tecnologia para destruir a identidade e senha
caso haja tentativa de invasão no dispositivo. Em pesquisa recente da Trend
Micro mostra que no Brasil 55% das 200 empresas entrevistadas relataram
alguma falha, ou incidente de perda de dados com projetos de computação em
nuvem nos 12 meses encerrados em junho. Isso porque todo e qualquer serviço
em nuvem utiliza login e senha”.
Ruy Ramos ressalta ainda que há três fatores que viabilizam uma autenticação
e uma identificação segura de determinado sistema: O que eu sou? O que eu
tenho? O que eu sei? “Na certificação digital, o que diz quem eu sou é o
certificado digital com os meus dados, o que eu tenho é um dispositivo que
pode ser cartão ou token e o que eu sei é a senha que está no dispositivo,
portanto, não trafega em qualquer lugar”. Ramos acrescenta as diferenças no
sistema de login e senha. “O que eu sou é geralmente o login que se for o
e-mail todos têm acesso, não há nenhum dispositivo para responder o que eu
tenho e o que eu sei está em um banco de dados que pode não estar cifrado”.
Sérgio Cangiano completa que a certificação digital tem um nível de
segurança muito maior que o login e senha. “O certificado digital exige
menos do usuário que apenas tem que memorizar uma única chave, para qualquer
serviço que contemple assinatura digital, com a vantagem de possuir as
características de validade jurídica e não repúdio de autoria”. |