Opinião.24 Abr 2015

Security tokens

O contínuo crescimento das atividades que realizamos online obriga a mecanismos de segurança que garantam, ao mais reticente utilizador, a sua autenticidade.

Se no início bastava apenas uma password, rapidamente se chegou à conclusão que as passwords podem ser facilmente adivinhadas; são clássicos os exemplos de passwords que não são mais que a data de nascimento do utilizador, ou a data de casamento, ou o nome do clube de futebol. Para proteger transações financeiras ou acessos a informação pessoal é necessário algo mais seguro e que não dependa unicamente da imaginação do utilizador.

Atualmente muitos dos esquemas de segurança apostam em pelo menos duas vertentes habitualmente conhecidas por "something you know" e "something you have" ou, traduzindo, algo que nós conhecemos e algo que nós temos. Algo que nós sabemos é uma password escolhida por nós; algo que nós temos é normalmente um "security token" ou "authentication token".
Um security token é normalmente um pequeno objeto, como uma pen usb ou um porta chaves, que tem a capacidade de gerar chaves aleatórias que podem ser usadas como complemento da autenticação do utilizador. Quando o utilizador precisa de uma destas chaves gera-a no seu dispositivo e introduz o resultado gerado no computador; o sistema a que o utilizador está a tentar aceder consegue, por hardware ou software, gerar o mesmo código de modo a validar o valor introduzido pelo utilizador.
Para garantir a segurança deste sistema de autenticação os algoritmos usados na geração destes códigos apresentam algumas, ou todas, das seguintes características: 

* os códigos gerados nunca se repetem;

* os códigos são apenas válidos por curtos períodos de tempo, normalmente apenas alguns minutos; se decorrer muito tempo desde a geração do código até à respetiva utilização, quando o código for validado o valor devolvido pelo security token já terá mudado, invalidando assim o código anterior;

* os códigos gerados não dependem dos códigos anteriores, ou seja, é virtualmente impossível prever ou adivinhar um código futuro a partir do conhecimento de códigos passados.

Mas e se o security token for roubado? Alguém poderá aceder às informações uma vez que tem o código em seu poder. Para tentar contornar este problema muitos sistemas, como por exemplo os Bancos, não entregam os security tokens aos seus utilizadores; quando é necessário efetuar a autenticação geram o código de acesso e enviam-no por email ou SMS; o utilizador terá alguns, poucos, minutos para o introduzir no sistema e terá de o fazer a partir do mesmo computador e da mesma sessão onde o solicitou.

Mas não são apenas os Bancos que usam estes sistemas de autenticação. Por exemplo o Poker Stars, o site de poker online mais utilizado no mundo, usa security tokens para permitir aos seus utilizadores uma maior proteção das suas contas online. Os jogadores mais ativos e experientes usam esta segurança adicional para garantir que os seus proveitos não vão parar às mãos de hackers.

Outras plataformas de jogos online, envolvendo ou não dinheiro, também usam esta tecnologia para proteger as contas dos seus utilizadores. Tudo porque não basta ser seguro, também é necessário parecer seguro para conseguir ganhar a confiança dos utilizadores.

Claro que os mecanismos de segurança não se esgotam nos security tokens. Sistemas de informação mais críticos ou de maior importância estratégica acrescentam um terceiro nível de segurança; para além dos já referidos "something you know" e "something you have" acrescentam o "something you are" onde se usam características únicas como impressões digitais ou reconhecimento da íris para autenticar o utilizador. Mas, pelo menos por enquanto, os security tokens são suficientes para garantir que só nós é que conseguimos consultar os nossos saldos online.

Fernando Pina