0
0
Por Pedro Martinez | Business Owner for Digital Banking Authentication da Thales
Enquanto celebramos o Mês da Conscientização sobre Cibersegurança 2024 com o tema “Proteja Nosso Mundo”, é fundamental explorar tecnologias inovadoras que nos ajudem a alcançar esse objetivo. Um desses avanços, que está revolucionando a segurança online e a autenticação de usuários, são as chaves de acesso. As chaves de acesso representam um salto significativo na criação de um ambiente digital mais seguro, alinhando-se perfeitamente à missão de proteger nosso mundo. Utilizando técnicas criptográficas e autenticação biométrica, elas oferecem uma alternativa mais robusta e amigável em comparação com as senhas tradicionais, abordando diversas vulnerabilidades que há muito afetam nossas contas online.
Neste blog, exploraremos como as chaves de acesso funcionam, seus benefícios e por que elas são uma ferramenta essencial em nossos esforços coletivos para construir um futuro digital mais seguro para todos.
Phishing, uma ameaça crescente
O phishing é eficaz porque explora a psicologia humana, aproveitando os vieses e comportamentos naturais, em vez de direcionar fraquezas tecnológicas. Também é popular porque um ataque de phishing bem-sucedido pode dar aos criminosos um ponto de entrada nas redes empresariais, levando a vazamentos de dados e perdas financeiras.
Apesar dos esforços contínuos para aumentar a conscientização, esses ataques continuam explorando os vieses humanos para burlar os sistemas de segurança baseados em senhas. Eles enganam as pessoas, fazendo com que entreguem informações confidenciais, como senhas ou logins, ao se passarem por entidades confiáveis, tornando as senhas o elo mais fraco da cadeia de cibersegurança. Vamos observar algumas estatísticas:
- No primeiro trimestre de 2024, mais de 963 mil sites de phishing únicos foram detectados globalmente.
- Em 2023, o IC3 recebeu um número recorde de denúncias nos EUA, com 880.418 queixas e perdas potenciais superiores a 12,5 bilhões de dólares.
- O Relatório Global de Ameaças de Dados da Thales de 2024 revelou que o erro humano continua sendo a principal causa de vazamentos de dados, com 31% das empresas identificando-o como a causa raiz.
Não é surpresa que o Mês da Conscientização sobre Cibersegurança deste ano incentive os indivíduos a estarem atentos ao phishing. A educação tem um papel importante aqui, mas adotar mecanismos de autenticação mais fortes e resistentes a phishing, como as chaves de acesso, pode ser ainda mais eficaz na prevenção dessa ameaça.
Chaves de acesso desmistificadas
As chaves de acesso foram projetadas para eliminar as fraquezas inerentes às senhas. Elas oferecem um login mais rápido, fácil e seguro em sites e aplicativos, além de serem resistentes a phishing.
Elas são baseadas no padrão Fast Identity Online (FIDO), com um par de chaves criptográficas (pública e privada) que autentica os usuários sem colocar dados sensíveis, como senhas, em risco de esquemas de phishing. Na verdade, elas eliminam a necessidade de senhas por completo.
Ao contrário das senhas, que podem ser facilmente roubadas ou pescadas, as chaves de acesso nunca saem do dispositivo do usuário e não podem ser interceptadas por criminosos. Elas representam um grande avanço em direção à autenticação sem senhas, aumentando a segurança em entidades públicas e privadas.
As chaves de acesso também aprimoram a autenticação multifator (MFA). A MFA exige que os usuários forneçam duas ou mais formas de verificação; as chaves de acesso simplificam esse processo integrando dados biométricos ou um PIN com a autenticação criptográfica.
Tipos de chaves de acesso: sincronizadas e vinculadas a dispositivos
Existem dois tipos de chaves de acesso: chaves sincronizadas e chaves vinculadas a dispositivos. Embora ambas ofereçam resistência ao phishing, elas funcionam de maneira diferente em termos de segurança e experiência do usuário.
- Chaves sincronizadas: São armazenadas na nuvem e podem ser sincronizadas em vários dispositivos. Gigantes da tecnologia como Apple, Google e Microsoft usam essas chaves para melhorar a experiência do usuário. Elas podem ser facilmente transferidas entre dispositivos, permitindo que os usuários façam login com um PIN ou biometria (impressão digital ou reconhecimento facial). Elas são convenientes para uso pessoal, permitindo o acesso às contas a partir de diferentes dispositivos sem dificuldades.
- Chaves vinculadas a dispositivos: Essas chaves são ligadas a um dispositivo específico e nunca o deixam. Isso as torna mais seguras do que as chaves sincronizadas, pois a chave privada permanece protegida contra ameaças externas, como ataques à nuvem. Elas podem vir na forma de chaves de segurança de hardware, como tokens USB ou cartões inteligentes, que exigem a posse física do dispositivo para autenticar. Chaves vinculadas a dispositivos são particularmente úteis para empresas com altos requisitos de segurança, pois fornecem uma camada extra de proteção contra ataques de phishing e ataques man-in-the-middle.
Qual chave de acesso é adequada para sua empresa?
As chaves sincronizadas são convenientes para contas pessoais e uso cotidiano, enquanto as chaves vinculadas a dispositivos são o padrão ouro para empresas que priorizam a segurança. Empresas que lidam com dados sensíveis ou que estão sujeitas a requisitos de conformidade rigorosos devem optar por chaves vinculadas a dispositivos para prevenir phishing, ataques man-in-the-middle e outros tipos de roubo de identidade.
Quando a conveniência é a prioridade, as chaves sincronizadas são ideais para aplicativos internos ou serviços que não lidam com informações críticas.
O impulso por autenticação mais forte
À medida que os ataques de phishing se tornam mais sofisticados, governos e reguladores estão defendendo medidas de segurança mais robustas. Na União Europeia, o Regulamento Geral sobre a Proteção de Dados (GDPR) exige que as empresas implementem medidas de segurança, que são abordadas de maneira abrangente pela MFA e pelas chaves de acesso.
Da mesma forma, a Ordem Executiva 14028 nos Estados Unidos direciona o uso de MFA resistente a phishing, exigindo explicitamente soluções baseadas no FIDO.
Esse impulso regulatório fez com que a demanda por chaves de acesso aumentasse, especialmente em indústrias altamente regulamentadas que lidam com dados confidenciais, como finanças, saúde e setor público.
Protegendo nosso mundo
Na luta para “Proteger Nosso Mundo”, as chaves de acesso oferecem uma solução poderosa para uma das ameaças cibernéticas mais prevalentes: o phishing. Ao substituir senhas vulneráveis por uma autenticação resistente a phishing, as chaves de acesso são o futuro da segurança digital.
À medida que o Mês da Conscientização sobre Cibersegurança nos lembra, reconhecer e relatar phishing é crucial para proteger nosso mundo digital. Ao adotar métodos de autenticação mais fortes, como as chaves de acesso, podemos dar um passo adiante na segurança de nossos espaços online e na proteção de informações sensíveis.
Para uma análise mais aprofundada sobre as chaves de acesso, ouça o recente episódio do Podcast Thales Security Sessions, no qual participei ao lado de Andrew Shikiar da FIDO Alliance para discutir “O Sucesso Silencioso das Chaves de Acesso”.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.