{"id":5214,"date":"2016-05-29T17:17:51","date_gmt":"2016-05-29T20:17:51","guid":{"rendered":"http:\/\/marcogomes.com\/blog\/?p=5214"},"modified":"2016-06-22T22:06:50","modified_gmt":"2016-06-23T01:06:50","slug":"uma-proposta-para-eliminar-as-senhas-de-todos-os-servicos-online","status":"publish","type":"post","link":"https:\/\/marcogomes.com\/blog\/2016\/uma-proposta-para-eliminar-as-senhas-de-todos-os-servicos-online\/","title":{"rendered":"\ud83d\udd10 Uma proposta para eliminar as senhas de todos os servi\u00e7os online"},"content":{"rendered":"

Proposta te\u00f3rica para\u00a0elimina\u00e7\u00e3o da senha e uso do celular, aliado a um servi\u00e7o na nuvem, como alternativa para\u00a0identifica\u00e7\u00e3o de usu\u00e1rios em\u00a0servi\u00e7os online.<\/p>\n

A senha normalmente \u00e9 a parte mais fr\u00e1gil de um sistema de seguran\u00e7a. Por praticidade, pessoas\u00a0tendem a escolher senhas f\u00e1ceis de lembrar<\/a> e repeti-las em m\u00faltiplos sites, o que reduz drasticamente a seguran\u00e7a de qualquer\u00a0servi\u00e7o online.<\/p>\n

\"Tecla<\/a><\/p>\n

<\/p>\n

Por enquanto estou chamando este servi\u00e7o de Cloud 2F Login<\/em>. \u00c9 um nome bobo e descritivo demais, mas serve para o prop\u00f3sito deste artigo. O Cloud 2F Login<\/em> \u00e9 uma proposta de servi\u00e7o na nuvem, que usa o padr\u00e3o oAuth para autorizar o acesso \u00e0 sites e servi\u00e7os online.<\/p>\n

\"Diagrama
Proposta de login usando servi\u00e7o na nuvem para autentica\u00e7\u00e3o<\/figcaption><\/figure>\n

Para exemplificar o processo de autentica\u00e7\u00e3o sem senha, vamos supor que Alice queira fazer login em\u00a0lojadecanetas.com:<\/p>\n

    \n
  1. Alice abre lojadecanetas.com;<\/li>\n
  2. Alice preenche seu ID pessoal em\u00a0lojadecanetas.com, este ID precisa ser \u00fanico, como um endere\u00e7o de e-mail, mas n\u00e3o precisa ser secreto;<\/li>\n
  3. lojadecanetas.com pergunta para o Cloud 2F Login<\/em>: “posso autorizar a entrada deste ID?” e aguarda a resposta;<\/li>\n
  4. Cloud 2F Login<\/em> pergunta para Alice “\u00e9 voc\u00ea tentando entrar na lojadecanetas.com?” atrav\u00e9s de um canal de comunica\u00e7\u00e3o independente (notifica\u00e7\u00e3o push, SMS, liga\u00e7\u00e3o telef\u00f4nica, e-mail);<\/li>\n
  5. Alice responde o Cloud 2F Login<\/em>: sim, sou\u00a0eu;<\/li>\n
  6. Cloud 2F Login<\/em> responde \u00e0 lojadecanetas.com “sim, pode autorizar a entrada deste ID”;<\/li>\n
  7. lojadecanetas.com autoriza a entrada de\u00a0Alice.<\/li>\n<\/ol>\n

    Alice entrou em lojadecanetas.com sem precisar digitar um password<\/em> e a\u00a0lojadecanetas.com n\u00e3o precisa se preocupar em armazenar com seguran\u00e7a\u00a0as senhas de cada\u00a0cliente.<\/strong><\/p>\n

    O mesmo processo pode ser usado tamb\u00e9m em autentica\u00e7\u00e3o em dispositivos m\u00f3veis, conforme diagrama abaixo.<\/p>\n

    \"Diagrama
    No login de mobile para mobile, o processo \u00e9 similar, com a autoriza\u00e7\u00e3o aparecendo em um segundo app. Como j\u00e1 faz hoje o Banco Original com seus dois apps independentes (banco e token).<\/figcaption><\/figure>\n

    Algumas caracter\u00edsticas importantes da tecnologia que proponho:<\/p>\n