Em Dezembro de 2020 eu me presenteei com um Yubikey 5 NFC. Mas realmente vale a pena comprar? É um produto que o público leigo deve ter? É o que espero esclarecer em um texto honesto sobre o produto depois deste tempo usando o produto.

Durante vários meses antes da compra eu andei pesquisando, perguntando e avaliando a compra de um “brinquedo” desses, mas meu instinto consumidor falou mais alto e tão logo eu vi uma queda (não muito grande) no preço eu digitei a senha do cartão e fiquei feito criança perguntando todos dias ao porteiro se havia chegado alguma encomenda pra mim.

Para já começar o assunto com um choque de realidade. Mesmo depois de tanto ler (e não foram poucos os artigos, textos, resenhas etc) e verificar os serviços online que uso (e não são poucos), ao clicar no botão “COMPRAR”, eu já estava ciente de que de o custo-benefício seria baixo.

Minha opinião continua a mesma depois de todo este tempo usando. Embora haja de fato um aumento relativo na segurança, o próprio chaveiro se torna um ponto de falha na sua segurança, visto que ele pode ser perdido ou roubado e dependendo de como você esteja o usando, o criminoso poderá acessar suas contas integralmente sem nem precisar saber suas senhas.

Mas vamos começar pelo básico para todos que chegaram até aqui consigam acompanhar com um mesmo nível de conhecimento básico sobre segurança de informação.

Autenticar vs Autorizar

Dois conceitos que são muito confundidos ou misturados são o de “autenticar” e o de “autorizar”.

Autenticar é identificar, é garantir que você é quem se diz ser. Autorizar é dar permissão. Uma vez que se saiba quem você é, pode-se autorizar a fazer algo.

Por exemplo, quando você entra no site ou no app do seu banco a primeira coisa que precisa ser feita saber quem você é. Você precisa então autenticar.

Tão logo o sistema saiba quem você é ele consultará uma lista de permissões e determinará se você está autorizado a acessar apenas a conta corrente, ou a conta poupança, se pode fazer compra de ações, emprestimos etc.

Em todo este texto nós falaremos só sobre autenticação, já que a autorização é um tipo de controle exclusivo e interno de cada aplicação.

Por exemplo. Em todas as aplicações que eu autenticar eu serei identificado como “Welington Braga”, no entanto somente no app no meu banco faz sentido eu ter uma autorização “Fazer TED” e só no aplicativo de comunicação a autorização “Enviar mensagem”, ou só no meu sistema operacional a permissão “Administrador”.

As quatro formas de autenticação

Há algumas formas de autenticarmos/identificarmos alguém em um sistema. Seguem então quatro delas. Embora não sejam as únicas, elas são as mais comuns de serem encontradas.

1. Usando algo que só “você sabe” – A senha

Usada desde o tempo que nos entendemos por seres civilizados e com segredos a esconder esta é a forma mais comum e também a menos segura de identificação (dúvida disso!? Pense então nos cofres e cadeados com segredo, por exemplo).

Seu funcionamento é simples. O sistema pergunta o seu login e a sua senha. Se você sabe estas duas informações, então ele entende que você é quem diz ser e o acesso é liberado.

Isso funciona bem há séculos, mesmo na época que não tínhamos qualquer tecnologia eletrônica, mas com o passar do tempo e a evolução tecnológica a situação foi complicando e senhas simples passaram a ser quebradas em poucos minutos ou horas.

Em uma tentativa desesperada de se proteger o mundo foi complicando suas senhas. As senhas que antes podiam ser apenas o nome do seu pet, ou o sobrenome da sua mãe, começaram a misturar letras maiúsculas e minúsculas, símbolos, caracteres especiais, passaram a ser consideradas inseguras com 4, 6 8, 10, 20 caracteres e a situação foi só agravando.

Com as senhas cada dia mais complexas e nenhuma melhora na segurança, o indivíduo que sugeriu estas “evoluções” na forma como geramos as senhas, veio a público em 2017 pedir desculpas pelo seu exagero.

Duvida? Procure no Google ou em outro buscador de sua preferência por “Bill Burr NIST” e você encontrará diversos artigos de autores escandalizados com o choque de realidade que o então vovô de 72 anos dava na sociedade.

Só pra esclarecer “Bill Burr” era um dos pesquisadores do NIST (National Institute of Standards and Technology) e que escreveu em 2003 um documento de oito páginas intitulado “NIST Special Publication 800-63. Appendix A” e que sugeria o atual formato de senha que usamos ainda hoje.

2. Usando algo que “você é” – Atributos corporais e padrões de comportamento

Esta é uma evolução e tanto, mas ainda há certos percalços e limitações na sua adoção.

O já conhecido leitor de digitais é o carro chefe desta forma de identificação. Você toca com um dedo em um sensor e através da leitura das linhas em seu dedo, associado com pulsação, pressão sanguínea, condutividade etc o sistema afirma que você é realmente a pessoa autorizada.

E ainda a leitura da retina e das especificidades da nossa estrutura ocular, mas devido as complicações em se exigir que o indivíduo aproxime o rosto de algum sensor para este tipo de avaliação, acho que deixou o público intimidado e esta forma tem caído em desuso.

Algo mais modernos que temos hoje é o sistema pede que você aproxime o rosto de uma câmera e partir de avançados algoritmos de análise facial ele deduz que você, é você mesmo.

Há inúmeras outras formas similares como a filmagem do indivíduo para que o sistema possa avaliar se você está vivo ou se é apenas uma foto. Como pedir para piscar, girar a cabeça, abrir e fechar a boca etc.

Tem até uma forma especial que te identifica com base em certos padrões na sua forma de andar, sobre um tapete especial.

3. Usando a sua localização

Esta é uma forma que sozinha não garante a segurança. Ela precisa ser associada com outra forma de validação.

Este processo pode ser tão simples quanto ler alguns sensores em seus dispositivos, quando por exemplo ao entrar com suas credenciais em algum sistema ele tentar estimar a sua localização com base no sinal de GPS, WIFI, endereço IP etc.

Também pode ser mais sofisticada usando recursos de inteligência artificial, por exemplo, para analisar os dados de outras transações realizadas recentemente e decidir por autorizar ou não outra operação.

Suponhamos que você acabou de passar o cartão de crédito fisicamente em uma loja no Rio Grande do Norte, não faz sentido a operadora liberar uma outra compra, também com cartão físico, na China, na Europa e nem mesmo no Rio Grande do Sul, nas próximas horas.

Um sistema de análise deste tipo facilmente identificaria que este tipo de caso é uma possível fraude.

4. Usando algo que “você possui” – Tokens e dispositivos físicos

Várias instituições bancárias nos anos 90 e 2000 enviavam aos seus correntistas um pequeno cartão de papel com uma relação de números que o usuário deveria informar ao sistema a cada transação que fizesse.

Uma evolução do cartão de papel com a lista de senhas, foi o chaveiro que ao pressionar um botão emitia uma número aleatório que o usuário deveria usar para validar suas transações.

O Yubikey podemos dizer que é um aperfeiçoamento ou uma nova modalidade destes tokens, que ao invés de mostrar um número para que seja digitado, “ele já o digita” pra você.

Mas pode ser o seu telefone celular, onde o sistema enviará um SMS ou fará uma ligação automática para fornecer um código, ou ainda o acesso a outro dispositivo onde você já tenha feito acesso recente.

O que é autenticação de múltiplos fatores

Eu já disse antes que quando precisamos nos identificar em qualquer sistema o mais comum é autenticação com um fator (a senha).

O uso do login e senha é praticamente onipresente em todos os sistemas, do mais básico ao mais sofisticado, mas as senhas se tornaram absurdamente complexas para nos lembrarmos delas quando precisamos, porém cada mais fáceis de serem descobertas.

Daí surgiram os outros métodos de autenticação que mencionei antes. Mas eles não surgiram para substituírem as senhas, eles surgiram para complementar a segurança e serem mais um fator de segurança.

Ao invés de termos apenas o fator “senha” para te identificar, agora você precisa de um segundo, as vezes terceiro ou mesmo quarto fator para comprovar quem você é de fato.

Quando uma aplicação, sistema ou site pede que você além da senha informe um código enviado por SMS ao seu telefone, ele está usando um segundo fator que é a posse do telefone (supostamente só você o possui).

O mesmo, se além do login e senha o sistema pedir para você tocar um sensor de digitais ou olhar para a câmera (da mesma forma, supostamente só você tem aquela digital e formato facial).

Isso é conhecido no mundo da segurança digital por “autenticação multifator”, MFA (Multi Factor Authentication) ou na sua forma mais simples 2FA (Two Factor Authentication) quando usado apenas dois fatores.

Yubikey na prática

O nosso Yubikey entra na categoria “4” que listei acima, sendo um fator que só você possui.

Como já dito, ele não é o único dispositivo para este fim e nem foi o primeiro, mas é o mais evidente e popular atualmente para este fim, possivelmente devido a sua versatilidade e compatibilidade com múltiplos protocolos de autenticação.

Fisicamente falando, o produto é do tamanho de um pen-drive destes mais comuns que encontramos no mercado e apesar de parece frágil ele é bastante resistente.

Há quem diga que já mergulhou em água, deixou em temperaturas elevadas e mais baixas etc, mas em terras tupiniquim o produto é caro demais para eu fazer este tipo de experiência e depois eu ter surpresas desagradáveis, então eu o mantenho guardado com o devido “zelo” que uma ferramenta de segurança deve ter.

O produto é excelente mas o custo benefício pode não ser bom pra você. Não por culpa do dispositivo, ou ineficiência do método, mas porque como já disse há outras formas de se fazer a MFA de forma gratuita.

Outro detalhe a considerar é que embora o site da Yubico apresente uma longa lista de parceiros e plataformas que o suportam, na prática você não poderá adotá-lo de forma universal. Muitos parceiros, não significa “todos” . Você não poderá usá-lo no seu banco, por exemplo.

Embora ele possa ser amplamente usado em diversos serviços, incluindo ai a autenticação local no Windows, Linux e acredito que no Mac OS também (este último não tenho certeza, é só uma suposição) se você ainda não ativou nenhuma forma de MFA em pelo menos metade das suas contas online então comprar o Yubikey é jogar dinheiro fora.

Uma vez que você já tenha feito isso, o chaveirinho não passará de mais uma comodidade. Por exemplo quando eu tento fazer login em meu Gmail, além do login e senha o Google me dá uma lista de opções de MFA que já configurei. Desde um “OK” no celular, ou um e-mail para outra conta, até o uso do Yubikey.

Se tento entrar no Github, a mesma coisa. Eu posso até usar o Yubikey se ele já estiver a mão, mas se não tiver eu posso simplesmente informar um token OTP gerado pelo meu aplicativo de autenticação (Google Authenticator, Microsoft Authenticator, Authy etc).

O Yubikey faz o que promete, garante a sua segurança é resistente e tudo mais que você já leu em vários lugares antes de decidir comprá-lo no entanto a sua aplicabilidade é limitada ao fato de que há alternativas gratuitas e tão eficazes quanto ela, sem o incômodo de ter mais uma bugiganga para carregar no bolso.

E então, vale ou não vale?

Enquanto no “mundo ideal” não precisaríamos de senhas ou invencionices para proteger nossos segredos de quem quer que seja, no “mundo real” devemos usar todos os métodos de autenticação em nossos sistemas para evitar ataques.

Quer mais segurança? Use todo e qualquer serviços de MFA ou A2F que seu provedor de serviço puder oferecer, eles são gratuitos e funcionam bem. Se bem usados você estará seguro e sem custos extras.

O Yubikey é bacana, mas ele não vai te deixar mais seguro do que se você recebesse um código OTP ou e-mail em outra conta de e-mail, então minha recomendação é que você só o compre depois que tiver ao menos metade de sua vida digital configurada com algum tipo de MFA.