Muitos usuários consideram as senhas extremamente pesadas. Um protocolo de autenticação para sites, chamado WebAuthn, pode torná-los obsoletos. Os usuários podem usá-lo para fazer logon em um serviço como uma rede social ou uma plataforma de compras online com seu smartphone ou computador. O processo é rápido e fácil ao utilizar dados biométricos como impressão digital ou reconhecimento facial, que muitas vezes já são armazenados para desbloquear o aparelho. "Não é surpreendente que isso possa criar a impressão de que os dados biométricos são transmitidos para o site no qual você deseja fazer login, semelhante a uma senha. Mas isso é um equívoco", diz Leona Lassak, da Ruhr-Universität Bochum (RUB ).
Uma equipe do RUB, do Instituto Max Planck de Segurança e Privacidade (MPI-SP) em Bochum e da Universidade de Chicago vem combatendo esses e outros equívocos. Em vários estudos on-line, eles permitiram que 414 usuários experimentassem o novo login do WebAuthn e perguntaram sobre suas primeiras impressões e preocupações em relação à segurança, usabilidade e privacidade.

Leona Lassak do Horst Görtz Institute for IT Security at RUB e Dr. Maximilian Golla do MPI-SP, juntamente com Annika Hildebrandt e o professor Blase Ur da University of Chicago, publicarão os resultados na conferência USENIX Security em 11 de agosto de 2021 . O artigo está disponível online desde 21 de junho de 2021.

Como o WebAuthn funciona

O WebAuthn faz parte do novo padrão FIDO2, que visa tornar as senhas obsoletas. Atualmente, quando os usuários desejam fazer login em um serviço, basta inserir um nome de usuário e uma senha. No futuro, os usuários poderão se autenticar simplesmente usando o dispositivo. Para garantir que uma pessoa aleatória que encontre um smartphone perdido não consiga entrar em todos os tipos de serviços, os usuários precisam confirmar o processo de login com o PIN do smartphone ou biometria. Alguns serviços como o americano eBay ou Microsoft já oferecem o login WebAuthn.

Leona Lassak explica o problema:"Para o usuário parece que ele está acessando o serviço online com sua impressão digital. para o login real."

Confusão entre usuários iniciantes

Quase 70% dos entrevistados não tinham certeza ou acreditavam erroneamente que seus dados biométricos seriam compartilhados com o site em que estavam tentando entrar. " diz Annika Hildebrandt, autora da Universidade de Chicago.

Outro problema surge caso o sensor de impressão digital não funcione. De fato, é possível inserir o PIN do smartphone alternativamente. No entanto, como a interface do usuário não deixa essa opção muito clara, 60% dos usuários pensaram que perderiam o acesso à sua conta nesse caso. Os pesquisadores também perguntaram se os participantes sentiriam que suas contas estavam seguras se o smartphone fosse roubado. 93% dos entrevistados se sentiram suficientemente protegidos devido à sua biometria, mas não sabiam que um invasor também poderia acessar suas contas adivinhando o PIN do smartphone.

Enfrentando equívocos

Os pesquisadores permitiram que sete grupos focais desenvolvessem textos e gráficos que visam evitar esses equívocos e comunicar a complicada funcionalidade do WebAuthn. Com base nesses textos, os pesquisadores implementaram seis notificações e as compararam em um estudo online.

"O mais eficaz para lidar com equívocos é comunicar explicitamente que os dados de impressão digital e rosto nunca são transmitidos para o site", explica Annika Hildebrandt. Foi menos eficaz destacar as desvantagens das senhas ou mencionar as empresas confiáveis ​​que ajudaram a desenvolver o padrão WebAuthn.

Aumentando a adoção

Apesar de todos os mal-entendidos e preocupações, os participantes classificaram o login biométrico mais alto do que as senhas tradicionais, pois ficaram particularmente impressionados com sua velocidade e facilidade de uso. No futuro, os pesquisadores pretendem aumentar ainda mais a aceitação do WebAuthn para tornar suas vantagens acessíveis a todos os usuários.