Construindo a confiança em um mundo moderno

As senhas estão entre as invenções mais persistentes da era digital. Criadas como um mecanismo simples de autenticação, sobreviveram por mais de seis décadas como a principal chave de acesso aos sistemas digitais. No entanto, em um cenário de ameaças cibernéticas sofisticadas, engenharia social avançada e mercados clandestinos de credenciais, elas deixaram de ser solução para se tornarem problema. O que está em jogo não é apenas a praticidade de uso, mas o próprio conceito de confiança digital. É possível argumentar que o futuro da segurança exige a superação definitiva das senhas, substituindo-as por mecanismos mais robustos, contínuos e resilientes.

A confiança não pode ser tratada como um ato ingênuo, mas como uma construção sustentada por evidências e verificações. No universo digital, ela depende de três elementos centrais: a capacidade de verificar a identidade de forma inequívoca, a garantia de que a comunicação não será corrompida ou interceptada e a eliminação de qualquer ambiguidade na validação de quem interage com o sistema. Durante décadas, acreditou-se que uma senha memorizada poderia cumprir esse papel. Mas a realidade contemporânea, marcada por vazamentos em massa e ataques altamente sofisticados e automatizados, deixou claro que essa premissa não se sustenta.

É curioso notar que as senhas nasceram em um contexto quase inocente. No início da década de 1960, no MIT, foi introduzido o uso de segredos pessoais para diferenciar usuários e permitir o compartilhamento seguro de recursos computacionais. A ideia parecia elegante: bastava associar cada identidade a uma sequência de caracteres conhecidos apenas pelo usuário e pelo computador. A partir desse ponto, a prática se expandiu para sistemas corporativos, contas bancárias, serviços de e-mail, redes sociais e ambientes em nuvem. As senhas se tornaram tão presentes que passaram a fazer parte da cultura digital, sendo vistas quase como um rito de acesso inevitável.

Esse hábito, no entanto, mostrou-se frágil. O problema começa pelo fator humano: em geral, usuários criam senhas simples, fáceis de adivinhar e muitas vezes repetidas em diversos serviços. Quando tentam ser mais criativos, acabam anotando combinações complexas em locais inseguros, como cadernos sobre a mesa, papéis ou planilhas. Além disso, a engenharia social transformou-se em uma arma poderosa para contornar qualquer sofisticação técnica, levando pessoas a entregarem voluntariamente suas credenciais em golpes de phishing ou em contatos falsos de suporte. A automação ampliou ainda mais o risco, com ataques de força bruta e dicionário capazes de testar milhões de combinações em segundos. Para completar, a explosão de vazamentos de dados transformou as senhas em mercadorias disponíveis em mercados clandestinos, vendidas a preços irrisórios para quem quiser explorá-las.

O prenúncio da morte das senhas ganha ainda mais força quando observamos o avanço da computação quântica. Se hoje já convivemos com ferramentas capazes de testar milhões de combinações em questão de segundos, a perspectiva de processadores quânticos aplicados à quebra de algoritmos tradicionais eleva o risco a um novo patamar. Códigos que antes levariam dias, semanas ou até meses para serem decifrados em ambientes clássicos poderão ser reduzidos a meros segundos em um cenário quântico. Essa mudança ameaça não apenas as senhas individuais, mas todo o modelo de criptografia que sustenta a segurança digital contemporânea. Nesse contexto, insistir na senha como principal barreira de proteção é apostar em uma tecnologia cujo prazo de validade já está marcado.

Isso deixa claro que as senhas deixaram de ser um mecanismo de proteção para se tornarem um vetor de risco. Ainda assim, elas persistem por uma questão de inércia tecnológica e cultural. Mas esse cenário começa a mudar. A eliminação das senhas deixou de ser uma aspiração distante e se tornou uma realidade possível com a adoção de novas tecnologias. Entre as alternativas mais promissoras estão a biometria, já presente em dispositivos móveis e sistemas bancários; os padrões FIDO2 e WebAuthn, que permitem transformar smartphones e chaves físicas em credenciais seguras, dispensando completamente o uso de segredos memorizados; e as soluções de login único, que concentram a autenticação em identidades digitais robustas e confiáveis, reduzindo a superfície de ataque e simplificando a experiência do usuário.

Com os recursos tecnológicos certos nas mãos dos usuários, hoje é possível garantir o acesso sem o uso de senhas, implementando técnicas de autenticação alternativas. Estudos atuais sugerem considerações para a integração de componentes durante o desenvolvimento de sistemas para garantir que os usuários possam acessar suas contas com segurança e com o mínimo de complexidade, atendendo ainda aos requisitos de um sistema de autenticação robusto que equilibre segurança, usabilidade e desempenho.

Além desses mecanismos, a autenticação comportamental surge como um campo de inovação, analisando padrões como digitação, velocidade de navegação, contexto do usuário e até localização geográfica para validar continuamente a identidade de um indivíduo sem exigir sua intervenção. Em paralelo, tokens temporários e links mágicos enviados por aplicativos ou notificações push oferecem formas práticas e seguras de acesso, sem a necessidade de decorar ou digitar combinações. Existe uma busca constante por garantir a segurança sem criar atrito com o usuário final, assegurando fluidez no uso da tecnologia. De certa forma, as senhas sempre foram essa barreira — e com elas todos os problemas da sua gestão, como o compartilhamento ou o esquecimento.

O mais importante é compreender que essas propostas não competem entre si, mas se complementam, formando um ecossistema no qual a segurança deixa de depender da memória humana para se apoiar em dispositivos, fatores biométricos e sinais de contexto. A experiência do usuário tende a se tornar mais fluida e intuitiva, ao mesmo tempo em que a resiliência contra ataques aumenta significativamente.

Há quem diga que as senhas não vão durar mais que 20 anos. Entretanto, com uma estimativa de vida ainda tão longa pela frente, elas precisam ser trabalhadas de forma a garantir o mínimo de complexidade para que atacantes não possam explorá-las facilmente e provocar violações de dados que comprometem a reputação das organizações. Uma das propostas trazidas pelos pesquisadores da USM é aplicar o uso de inteligência artificial para garantir que as senhas em uso hoje não sejam o vetor de ataque de amanhã. Dessa forma, os usuários seriam estimulados e obrigados a usar senhas fortes, minimizando o risco desse cenário. Todavia, sem o uso de aplicações que possam armazenar as senhas de forma segura, o usuário volta a ser o principal responsável pela guarda e armazenamento. Os resultados desse estudo demonstram que o treinamento com modelos de aprendizagem de máquina pode melhorar a estimativa de força de senhas em até 20%.

Hoje é possível ver que o mercado de operações críticas é — e continuará sendo — o verdadeiro catalisador desse movimento de eliminação das senhas. Setores como o financeiro, de energia, telecomunicações e saúde lidam com dados e sistemas cuja indisponibilidade pode gerar impactos imediatos não apenas econômicos, mas também sociais. Nesse contexto, a tolerância ao risco se torna muito menor e a busca por mecanismos de autenticação mais robustos e confiáveis não é apenas uma tendência, mas uma necessidade urgente. Se em áreas de menor criticidade ainda é possível adiar a substituição das senhas por inércia ou receio de custos de transição, nas operações críticas esse adiamento já não é aceitável.

O que se observa é que, mesmo que de forma ainda tímida, esses setores já vêm puxando a transformação. Instituições financeiras passaram a adotar autenticação biométrica em massa, sistemas industriais começam a integrar padrões mais robustos em suas arquiteturas, e ambientes hospitalares, pressionados por ataques de ransomware, estão buscando soluções que reduzam a dependência de credenciais tradicionais. Ainda é um movimento sonolento, sem dúvida, mas a direção é clara: quanto maior a criticidade do serviço, menor a paciência para com as fragilidades da senha.

Não existe outro caminho para a proteção do acesso. É um erro imaginar que ajustes incrementais — como forçar senhas mais complexas ou exigir trocas periódicas — sejam capazes de resolver o problema. Essas medidas, além de ineficientes, aumentam a frustração do usuário e acabam por estimular comportamentos de risco, como o uso de anotações em papel ou a repetição de combinações em múltiplos sistemas. O verdadeiro avanço não está em criar regras mais rígidas para a senha, mas em eliminar a senha do jogo.

A tendência, portanto, é que operações críticas funcionem como o “laboratório” dessa transição. À medida que esses setores demonstrarem ganhos em segurança e eficiência, outros segmentos irão seguir o mesmo caminho, acelerando a curva de adoção. É o mesmo fenômeno que ocorreu em momentos anteriores da evolução tecnológica: o que nasce como necessidade de ambientes de alta criticidade, mais tarde se consolida como padrão para todos.

Em última instância, esse movimento não diz respeito apenas à substituição de uma tecnologia por outra, mas à redefinição de um padrão. A senha representa um modelo de segurança centrado no segredo individual e na responsabilidade exclusiva do usuário. O mundo das operações críticas exige algo mais sólido, coletivo e automatizado, em que a confiança seja construída sobre bases verificáveis e resistentes a ataques. É por isso que acredito que esses setores serão os primeiros a decretar, de forma definitiva, o fim das senhas.

O futuro da autenticação, portanto, não será baseado em lembrar algo que pode ser facilmente copiado, roubado ou esquecido. O caminho é provar quem somos de maneira inequívoca, contínua e transparente. Se no passado a senha foi suficiente para sustentar os pilares da confiança digital, hoje ela representa justamente sua fragilidade. Romper com essa dependência cultural é um passo inevitável para construirmos um ambiente mais seguro, no qual a confiança seja fruto de tecnologia robusta e não da ilusão de um segredo mal guardado.

No instante em que a autenticação se encerra, inicia-se uma nova jornada igualmente complexa: a da autorização adequada e da monitoração contínua do uso das aplicações. Trata-se de um campo vasto, repleto de desafios que vão além da simples confirmação de identidade, exigindo políticas granulares, mecanismos de vigilância inteligente e uma governança capaz de equilibrar segurança e fluidez operacional. Esse, porém, é um tema que merece uma discussão dedicada e ficará para um próximo momento.
‍

‍

________

^{1 Mentirosos E Desajustados. Viabilizando A Confiança Que A Sociedade Precisa Para Prosperar
(Bruce Schneier)}

^{2 Passwords and the Evolution of Imperfect Authentication
(Joseph Bonneau, Cormac Herley, Paul C. van Oorschot and Frank Stajano)}

^{3 The Passwordless Authentication with Passkey Technology from an Implementation Perspective
(Lien Tran, Boyuan Zhang, Ratchanon Pawanja, and Rashid Hussain Khokhar)}

^{4 Challenges with Password less FIDO2 in an Enterprise Setting: A Usability Study
(Michal Kepkowski, Maciej Machulak, Ian Wood and Dali Kaafar)}

^{5 Adversarial Machine Learning for Robust Password Strength Estimation
(Pappu Jha, Hanzla Hamid, Oluseyi Olukola, Ashim Dahal and Nick Rahimi)}

‍

‍