Autenticação acessível e segurança

A 11 de agosto de 2020, a segunda versão preliminar das diretrizes WCA G 2.2 foi publicada. Nela, foram publicados 9 novos critérios, mas o que mais chama a atenção é o 3.3.7 Autenticação Acessível, que descreve:

Se um processo de autenticação for baseado num teste de função cognitiva, pelo menos um outro método que não seja baseado num teste de função cognitiva também deve estar disponível.

Em suma, devemos encontrar uma forma de aceder à web ou a uma aplicação que não cause muito trabalho mental. A maioria dos sites depende de nomes de usuário e senhas para fazer login. Memorizar um nome de usuário e senha (ou transcrevê-los manualmente) representa um fardo pesado ou impossível para as pessoas com certas incapacidades cognitivas.

Uma possível solução é validar-se mediante o WebAuthn. Os especialistas em criptografia destacam que este protocolo recomenda ou requer a implementação de algoritmos antigos e fracos, conhecidos por serem vulneráveis ​​a ataques.

A capacidade de fazer login num provedor externo usando o método OAuth também é recomendada.

Método de registro OAuth

Este formulário é amplamente utilizado por cibercriminosos (não confundir com hacker) para atacar as vulnerabilidades dos nossos sistemas. Com o intuito de evitar que tenhamos de preencher os campos de acesso ou login, facilitamos o acesso aos nossos contatos, senhas, histórico de navegação, IP,...

Felizmente, a WCAG 2.2 está em desenvolvimento e a versão final deverá ser publicada em meados de 2021. Enquanto isso, na medida do possível, não é recomendado aplicar estes dois métodos de validação, a menos que sejam aplicados por um cliente confiável que não use estas vulnerabilidades em seu próprio benefício. Ao mesmo tempo, devemos ter em mente a lei de proteção de dados e intercalar estas validações com outros meios de autorização como o SMS.