July 8, 2016
Ricardo
Peloi

Segurança Mobile: o que a API Trust do Google promete para o futuro de nossas senhas

Cada vez mais a Internet é acessada por smartphones. Como garantir a nossa segurança mobile? Saiba como a API Trust, do Google, irá salvar nossas vidas.

Agora o papo é garantir a segurança mobile

Nossas tecnologias já são móveis. Os smartphones estão entre os principais aparelhos utilizados para conectar-se a web.Sabia que mais da metade da população mundial já possui um Smartphone? E que pelo menos 50% dessas pessoas usa seu dispositivo móvel como principal forma de acesso à Internet?Por meio dos pequenos aparelhos, assinamos serviços, fazemos pesquisas, verificamos o valor de produtos, realizamos transações financeiras diversas, e por aí vai. Diante do grande número de informações pessoais que carregamos nos nossos bolsos, o uso de senhas tornou-se algo indispensável.Mas seriam os métodos de autenticação via senha realmente insubstituíveis? Como garantir uma real segurança mobile?O Google não concorda com essa sensação de segurança das senhas. E agora, querem aposentar para sempre as senhas alfanuméricas em alguns apps e plataformas, usando métodos baseados na localização, reconhecimento facial e biometria.Audacioso, eu diria!Particularmente, já adorei, porque nunca lembro minhas senhas. E você?Quer saber mais? Então vem comigo!

A importância de um sistema móvel seguro

A quantidade de dados armazenados nos aparelhos móveis nunca foi tão grande. Principalmente no caso de aparelhos Android, em que as suas contas logadas capturam seus dados de navegação, comportamento e até localização!Para usuários de dispositivos Apple, a segurança mobile é uma preocupação tão grande quanto.Felizmente, as empresas possuem formas de "devolver" os dados para os usuários, como os Painéis de Segurança e Privacidade do Google (você precisa estar logado na sua conta Google para acessar) e a página de privacidade da Apple.Esse é o lado Claro da Força, com as empresas em que confiamos nossos dados mostrando (em boa parte) como estão usando os dados e permitindo algum espaço de manobra para os usuários.O lado Negro é composto por aqueles que querem seus dados ou até o controle de seus dispositivos, sem o seu consentimento e contra a sua vontade.Quão grande é sua preocupação a sua segurança online? Afinal, há pessoas sem escrúpulos em toda parte, não é?Uma das primeiras coisas que se faz (ou deve fazer) com qualquer novo dispositivo é colocar senha para desbloqueá-lo e instalar softwares de proteção como Antivírus, Firewall e rastreadores de perda/roubo.Portanto, seja para o lado bom ou ruim (ou até em caso de desatenção e perda), esse excesso de informações presente em nossos dispositivos torna cada vez mais evidente a preocupação com segurança mobile."Ah, mas eu tenho senhas e antivírus e outros softwares instalados! E não fico navegando em sites suspeitos. Estou protegido, eu sei".Isso quer dizer que você deve ter memorizado umas 100 senhas diferentes e mantém todos os antivírus atualizados, certo? Inclusive, deve até pagar por softwares de segurança, fazendo backups periódicos de todos os seus dados!Se esse for o caso, parabéns para você. Não há realmente necessidade em melhorar.Estou brincando, é claro que há. E novas formas de se proteger serão apresentadas para você, substituindo as antigas, menos seguras, quer você goste ou não.

Como a API do Google promete eliminar as senhas

Mesmo nesse cenário (que acho que não se aplica a você, com todo respeito, porque é difícil e normalmente a mesma senha é usada para diversos serviços), imagine o seguinte cenário:Você desbloqueia seu celular e usá-o por alguns segundos, sem nenhum problema. Enquanto você abre seus apps preferidos e navega por eles, uma aplicação "assistiria" seus toques, em termos de intensidade, velocidade e angulação, ouviria sua voz, mediria seus passos.E assim, ao conhecer seu comportamento biológico e social, seu smartphone saberia se aquela pessoa que está usando o dispositivo é você ou não!Os sensores de um telefone já são utilizados por aplicativos de saúde, esportes e mesmo apps financeiros para tornar a nossa experiência de uso mais interessante.Agora, o Google pretende aproveitar essas funções para criar novos métodos de login, que diminuem a dependência em senhas e, por meio de algoritmos de inteligência artificial, identificar quem é o usuário do aparelho.Isso permitiria que diferentes perfis fossem acessados automaticamente, e caso o celular ficasse desconfiado do atual usuário, pediria uma senha ou alguma outra confirmação biométrica, como uma foto ou digital.Senhas? Nunca mais!Achou estranho, e talvez até um pouco abusivo? Afinal, você pode dizer, para proteger a segurança dos seus dados, você estará dando ainda mais dados!Bom, já há alguns anos foram lançados dispositivos com reconhecimento de digitais (como o iPhone 5S e o Galaxy S5), e outras tendências de inteligência artificial e wearables. Fora que, em termos de biometria, é quase impossível que ocorram fraudes. Isso significa mais proteção, de forma que nenhuma senha pode dar, mesmo com Autenticação de Dois Fatores.Ou seja, realmente estamos indo nesse caminho, e temos que procurar nos manter atualizados em relação às tecnologias em uso. Não adianta dizer que esse tipo de tecnologia não é para você.Ela virá. E o Google está se esforçando para isso.

Trust API, a solução em segurança mobile

A Trust API, que faz parte do Project Abacus, foi apresentada no início do ano no Google I/O, a conferência de developers do Google. Você pode conferir toda a apresentação do Google sobre as tecnologias que estão sendo criadas para conectar o mundo real com o virtual (1 hora, em inglês):

No caso dessa API, a ideia é utilizar o hardware do smartphone para criar padrões que facilitem a identificação de características únicas de cada usuário.Assim, ao invés de solicitar por uma senha, o sistema Android verifica o rosto do usuário, as suas digitais, a sua fala e mesmo a forma como a pessoa digita para avaliar se o dispositivo pode liberar o acesso a um recurso automaticamente.E como esse recurso estará disponível via API, qualquer aplicativo que costuma pedir senhas poderá usar a biometria ao invés disso, tendo somente que invocar a API e deixá-la usar os sensores do dispositivo para cria o perfil do usuário.Em caso de uma invasão aos bancos de dados de perfis de usuários (como ocorrem com bancos de dados de senhas e outras informações sensíveis), a maioria dos usuários ainda estaria segura, porque para acessar a conta de alguém, seria necessário "imitar" uma série de características biométricas.A disponibilização da Trust API para developers deve ocorrer em breve. Hoje, tudo que temos é um conceito e o sonho do Google de dar esse "novo poder" aos seus dispositivos, até o fim de 2016. Sua implementação tenderá a ser feita, principalmente, em aplicativos que lidam com dados financeiros, mais sensíveis, como os de bancos e investimentos.É claro que a API não impedirá o uso de métodos tradicionais de autenticação (tendo em vista que muitos analistas de segurança indicam o uso de várias camadas de proteção), mas possui o poder de tornar várias atividades diárias mais confiáveis.

Aumentando as opções de segurança mobile

O Google é uma das empresas que lidam com uma das maiores quantidades de dados digitais do mundo. Seus dispositivos e ferramentas dependem da coleta constante de dados dos usuários e, diante disso, a empresa passou a realizar investimentos constantes com o objetivo de tornar os seus produtos mais eficazes, seguros e confiáveis.Esse é o caso do Android, o sistema que teve os primeiros anos de vida marcados pelas falhas de segurança, mas que logo passou a aceitar criptografia e mesmo suporte nativo para biometria.Criando meios adicionais para a proteção de seus usuários e a identificação de comportamentos suspeitos, a empresa pode reforçar o seu comprometimento com a segurança dos usuários e diminuir as chances quebras de segurança mobile.Além das APIs de segurança, outra API que deve tornar-se popular nos próximos anos é a de streaming, que você pode conferir nesse artigo.Espero que tenha curtido o artigo e não se esqueça: proteja seus dados! E enquanto isso, confira nosso Webinar sobre Segurança de APIs, clicando aqui ou na imagem:

Segurança mobile não é tudo! Clique aqui e confira o Webinar de segurança de APIs.

Até a próxima o/

Obrigado pela leitura!

Voltar ao arquivo