*Por Pedro Martinez, Business Owner, Digital Banking Authentication
Como as chaves de acesso estão reescrevendo o cenário atual de ameaças
Lillian, uma CISO experiente, fez uma pesquisa sobre o cenário de ameaças. Apesar das sólidas defesas de cibersegurança dentro de sua empresa, a dependência de senhas antiquadas a deixava vulnerável.
Seus próprios funcionários, mesmo com seus melhores esforços, permaneciam o elo mais fraco. Eles lutavam para criar e lembrar senhas complexas e em constante mudança para o labirinto de sistemas aos quais acessavam diariamente. Sua abordagem levava a padrões previsíveis, reutilização de senhas, bloqueios de sistemas e um número impressionante de tickets de suporte caros.
Fora de sua organização, os cibercriminosos exploravam essas deficiências com ataques de phishing cada vez mais sofisticados e persistência implacável. Não ajudava que, apesar dos esforços incansáveis para promover melhores práticas de senha, “12345” continuasse sendo a combinação de senha mais popular – globalmente.
Lillian sabia que uma mudança na autenticação não podia esperar. Felizmente, não precisava.
As chaves de acesso estão prontas para serem implementadas em uma escala maior.
Nossa fictícia CISO, ‘Lillian’, nunca esteve sozinha ao reconhecer o problema com as senhas. A verdade é que toda a indústria digital, especialmente aqueles na cibersegurança, chegou à mesma conclusão: as senhas são o problema!
Por mais de quatro décadas, confiamos em senhas para proteger sistemas de computadores, aplicativos e serviços da web contra acesso não autorizado. Mas, embora as senhas tenham cumprido seu propósito, elas superaram sua utilidade. Elas são propensas a erros, um elo instável na cadeia de segurança, um elemento de alto atrito nas jornadas do usuário e um método de autenticação desatualizado inadequado para o cenário atual.
Entendimento da indústria que, por sua vez, levou ao surgimento das passkeys FIDO — um padrão global criado pela aliança FIDO e baseado em criptografia de chave pública. Agora, grandes players da internet, como Google, Amazon e Apple, implementaram chaves de acesso para todos os consumidores, sinalizando o verdadeiro fim das senhas.
O que é FIDO e qual é a diferença entre chaves de acesso sincronizadas e vinculadas a dispositivos?
Antes de nos aprofundarmos na discussão sobre as chaves de acesso FIDO, ainda há alguma confusão a esclarecer; o que é FIDO, o que são chaves de acesso? E qual é a diferença entre chaves de acesso sincronizadas e vinculadas a dispositivos? Então, vamos aos conceitos básicos:
FIDO é um framework abrangente para autenticação segura e sem senha. É um conjunto de padrões e protocolos abertos da indústria projetados para melhorar a forma como verificamos identidades online. Esse framework suporta uma variedade de métodos de autenticação, incluindo biometria, como impressões digitais, ou tokens de hardware seguros, como chaves de segurança USB.
As chaves de acesso são os objetos criptográficos resultantes que são usados para autenticação. Mas existem dois tipos de chaves de acesso; sincronizadas e vinculadas a dispositivos. Vamos explicar:
Chaves de acesso sincronizadas: Todo MacBook, Chromebook ou Windows PC, e todo smartphone ou tablet Android ou iOS com uma versão recente do sistema operacional é habilitado para FIDO e capaz de gerenciar passkeys. Chaves de acesso criadas nesses dispositivos podem ser enviadas para a nuvem do dispositivo (por exemplo, o gerenciador de senhas do Google ou o iCloud da Apple) e, a partir daí, propagadas para qualquer outro dispositivo ao qual o usuário possa ter vinculado à mesma conta na nuvem. Esses tipos de passkeys são chamadas de chaves de acesso sincronizadas.
Chaves de acesso sincronizadas eliminam a necessidade de múltiplos registros e permitem recuperação fácil se um dispositivo for perdido ou roubado. No entanto, elas não atendem às rigorosas regras de Autenticação Forte do Cliente (SCA) devido à falta de vinculação exclusiva usuário-dispositivo. Por exemplo, o regulamento financeiro PSD2 na Europa exige essa vinculação para conformidade com a SCA. Essa limitação promove a necessidade de uma alternativa: chaves de acesso vinculadas a dispositivos.
Chaves de acesso vinculadas a dispositivos, ao contrário, estão vinculadas exclusivamente a um único dispositivo. Elas podem ser alavancadas usando um token de hardware certificado pela FIDO dedicado ou podem ser gerenciadas diretamente pelo aplicativo móvel do provedor de serviços, garantindo controle total sem envolver os serviços de nuvem do sistema operacional do dispositivo. A vinculação exclusiva a um único dispositivo aborda o requisito de conformidade com a SCA para vinculação exclusiva usuário-dispositivo e autenticação de dois fatores (2FA), tornando as chaves de acesso vinculadas a dispositivos uma solução viável para indústrias regulamentadas que buscam atender a padrões regulatórios, como instituições financeiras. Ao incorporar suporte para chaves de acessos vinculadas a dispositivos em seu aplicativo móvel, os provedores de serviços podem alcançar um equilíbrio ideal entre segurança reforçada e conveniência do usuário.
Então, qual é a abordagem recomendada?
Recomendamos fortemente que as organizações implementem suporte para chaves de acesso sincronizadas e as habilitem como uma alternativa às senhas para acesso de baixa segurança a seus serviços e aplicativos. No entanto, para autenticação de alto nível de segurança, como autorizar uma transação bancária, é crucial empregar chaves de acesso vinculadas a dispositivos para garantir que o usuário final esteja usando o dispositivo aprovado e não outro dispositivo onde haja uma “cópia” sincronizada da chave de acesso.
Lembre-se de que, quando um usuário procura se identificar em um serviço ou site, eles podem usar chaves de acesso, apenas se o site o suportar. Caso contrário, o usuário terá que aderir ao método tradicional de senha e nome de usuário. Ter a infraestrutura certa em vigor é, portanto, um passo fundamental para seguir sem senhas.
As chaves de acesso estão ganhando ampla adoção
A adoção generalizada de chaves de acesso deve-se em grande parte à integração do suporte a chaves de acesso pelos principais gigantes da tecnologia, como Apple, Google e Microsoft, em seus sistemas operacionais, garantindo compatibilidade nativa em quase todos os smartphones e computadores. Chaves de acesso sincronizadas oferecem conveniência entre dispositivos. Amplamente acessíveis, sua disponibilidade para todos os usuários está pronta para elevar os padrões de segurança universalmente.
Por outro lado, chaves de acesso vinculadas ao dispositivo levam a segurança a um nível mais avançado, atendendo à conformidade nos mercados regulamentados e às necessidades rigorosas das empresas. A integração dentro de um aplicativo móvel ou o uso de tokens de segurança de hardware é essencial, garantindo segurança aprimorada.
As chaves de acesso estão redefinindo a vulnerabilidade do usuário.
Senhas são vulneráveis a ataques de phishing, exigindo esforço extra dos usuários para uma boa higiene. Até agora, poucas ferramentas ajudaram os usuários a gerenciar eficientemente senhas para proteger a si mesmos e seus negócios contra ataques. Gerenciadores de senhas ganharam destaque por um tempo, mas a adoção permaneceu limitada. Eles também, por design, revelaram várias lacunas de segurança, como possíveis violações de senhas mestras, vulnerabilidades de software e o risco de ataques maliciosos a senhas armazenadas.
Para que os usuários adotem melhores práticas de segurança, as medidas devem ser não disruptivas. Um estudo conduzido pela Harvard Business Review revelou que a maioria das violações de segurança em uma força de trabalho não decorre do desejo de causar danos, mas da percepção de que aderir às regras pode impedir os funcionários de realizar efetivamente seu trabalho.
O estudo mostrou que mais de 60% dos funcionários acabam violando a política de segurança, com 85% apontando a baixa produtividade como a principal causa. Além disso, descobriram que os funcionários eram mais propensos a violar políticas em dias de alto estresse, sugerindo que níveis elevados de estresse reduzem a disposição das pessoas para cumprir regras vistas como obstáculos para suas tarefas, como atualizar senhas quando recomendado. Lacunas de segurança como essas podem ser fechadas com a implementação de chaves de acesso.
Em direção a um futuro sem senhas.
A principal conclusão aqui é que, com as chaves de acesso, sejam sincronizadas ou vinculadas ao dispositivo, os usuários não precisam mais ser o elo mais fraco na cadeia de cibersegurança. Ao se tornarem sem senha, questões relacionadas à reutilização de senhas, padrões previsíveis e tickets caros de redefinição de senhas se tornam obsoletos. Empresas centradas na experiência e na segurança em todo o mundo estão cada vez mais abandonando suas senhas. O provedor de identificação concede uma experiência sem falhas aos seus clientes ao se livrar das senhas.
Com as chaves de acesso assumindo o destaque, podemos vislumbrar um futuro que não apenas seja mais seguro, mas também mais amigável para todos os usuários. Os CISOs, como Lillian, agora podem direcionar seu foco para outros aspectos críticos da cibersegurança. No entanto, é essencial lembrar que, assim como qualquer implantação comercial, a adoção não ocorrerá da noite para o dia. No final, a conveniência impulsionará a adoção, mas um roteiro robusto e resiliente é o primeiro passo em direção a um futuro sem senhas. Seu roteiro está pronto?
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.