Opinião: Dia Mundial da Password: será o último?
Por Mark Nelsen (*)
Pode não ser a comemoração internacional mais celebrada, mas o Dia Mundial da Password deste ano (hoje) pode ser o último. Pelo menos para a Europa - onde os requisitos de Strong Customer Authentication (SCA) do PSD2 vão ajudar a colocar fim, de uma vez por todas, no uso de passwords para autenticar pagamentos.
É de pensar termos esperado tanto tempo. De facto, a password do computador tem mais de 50 anos - inventada por Fernando Corbato na década de 1960. Desde então, os esforços para selecionar uma palavra-passe quer seja o nome de solteira da mãe ou do primeiro animal de estimação frustraram até mesmo o mais paciente dos consumidores. Além disso, as táticas para memorizar as passwords geralmente incluem anotá-las, repeti-las em várias contas ou escolher algo que possa ser facilmente adivinhado. Segundo a empresa de segurança SplashData, as duas passwords mais usadas são “123456” e “password” - um sonho para hackers e autores de fraudes.
É tempo de mudança
O ecossistema de pagamentos mudou e, por isso, devemos mantê-lo seguro. Os avanços nas tecnologias de autenticação e antifraude são tais que até assinaturas e PINs estão a tornar-se opcionais para alguns bancos e comerciantes.
Em outubro de 2018, a assinatura tornou-se opcional para comerciantes e emissores do chip EMV® na rede de pagamentos da Visa, devido às capacidades de segurança do mesmo. Entretanto, o 3D Secure 2.0 da EMV pode agora rever 10 vezes mais dados do que antes - permitindo que transações online sejam avaliadas quanto ao risco no background, muitas vezes sem solicitar que o consumidor faça absolutamente nada. Finalmente, o desenvolvimento da inteligência artificial permite que a deteção de fraude seja mais rápida e eficiente.
A password torna-se incompatível face a este cenário de segurança avançada. Aproveitar as tecnologias mais recentes e as isenções de SCA significa que, mesmo depois de 14 de setembro, a única razão real para pedirmos aos consumidores que tomem medidas adicionais é fazer o check-in para ter certeza absoluta de que são os titulares certos ou identificarmos algo incomum sobre o pagamento dos mesmos que possa indicar fraude. No primeiro caso queremos um método de segurança que tranquilize os consumidores. No segundo, queremos algo que seja tão robusto que um autor de fraude falhe no teste. A password não cobre nenhum.
O SCA dá-nos a oportunidade de explorar uma nova abordagem para o consumidor moderno. A única questão neste momento não é se devemos fornecer aos clientes uma autenticação atualizada, mas sim qual o método a escolher.
Autenticação flexível
Existem muitas formas de autenticação e ainda mais a caminho - graças a um ecossistema aberto e colaborativo que incentiva a inovação. Mas atualmente os dois principais sucessores do trono das senhas são passwords únicas (one time passcodes - OTPs) e biometria.
Para muitos, as OTPs são a escolha mais óbvia. Usar um código único ultrapassa de longe a segurança fornecida por uma password, e enviá-lo para um telemóvel - registado para um titular de conta específico - é conveniente. A autenticação é o código, não o dispositivo, o que significa que também pode ser enviado para endereços de e-mail para atender a diferentes necessidades. Também é facilmente familiar - os consumidores usam regularmente OTPs para efetuar log-in em e-mails e serviços bancários online, e grande parte da infraestrutura necessária já está em vigor.
A opção mais glamourosa, é claro, a autenticação biométrica. Outrora apenas uma característica dos filmes de espionagem, a biometria é agora comum. Nos 6 curtos anos desde que os sensores de impressões digitais foram integrados nos smartphones, os consumidores tornaram-se cada vez mais confortáveis com esta abordagem. Um estudo certificado pela Visa nos EUA demonstrou que os consumidores estão recetivos ao uso da biometria, já que permite alternativas a palavras-passe mais rápidas, fáceis e seguras. 83% dos consumidores estão interessados no uso da impressão digital para verificar a identidade ou para fazer pagamentos e 59% já estão familiarizados com a biometria. A autenticação biométrica permite o melhor que a segurança de SCA pode oferecer, sem os atritos que muitos na indústria temem.
Talvez a resposta seja permitir que os clientes tenham a escolha. O SCA não dá apenas a oportunidade de abandonar as passwords, também elimina a necessidade de restringir a autenticação a um método. Certamente, o mesmo consumidor que pode estar satisfeito ao usar impressão digital para pagar no seu telefone no trânsito, pode preferir também um OTP ao comprar passagens de avião via e-mail no seu desktop. Temos a infraestrutura para flexibilidade, os consumidores têm o apetite e o PSD2, afinal, é em parte uma questão de aumento da escolha.
A conveniência está no centro das decisões do consumidor e, se estivermos a tentar evitar o atrito, talvez a resposta seja deixar o consumidor decidir.
(*) vice presidente sénior de produtos de risco e autenticação da Visa