0
0
Por Sarah Lefavrais | IAM Product Marketing Manager da Thales
Para muitos analistas de mercado, agências de cibersegurança e especialistas em autenticação, as passkeys, baseadas no protocolo padrão FIDO2, surgem como a tecnologia de autenticação preparada para o futuro e que deve se tornar dominante nos próximos anos.
“Até 2027, mais de 90% das transações de MFA que usam um token serão baseadas em protocolos FIDO nativamente suportados em ferramentas de IAM.”
Gartner®, Market Guide for User Authentication, James Hoover, Ant Allan, 12 de novembro de 2024.
Por quê? Porque a autenticação FIDO sem senha oferece, simultaneamente, segurança aprimorada e melhor experiência do usuário (UX).
Contudo, é importante entender que nem todas as passkeys são iguais. Consideramos que as orientações da Gartner esclarecem como as organizações devem adotar diferentes tipos de passkeys — em especial a distinção entre passkeys sincronizadas (multidispositivo) e passkeys vinculadas a dispositivos — para maximizar segurança e eficiência.
O que são passkeys?
Passkeys são credenciais resistentes a phishing baseadas nos padrões FIDO2. Ao contrário das senhas, não podem ser reutilizadas, adivinhadas ou roubadas via phishing. São armazenadas no dispositivo do usuário e protegidas por autenticação local, como biometria ou PIN.
Existem dois tipos principais de passkeys:
Passkeys vinculadas ao dispositivo
Segundo a Gartner: “As passkeys vinculadas ao dispositivo estão ligadas a um autenticador de hardware ou ‘chave de segurança’ (um autenticador ‘roaming’), ou ao PC, tablet ou smartphone do usuário por meio de um autenticador de software (um autenticador de ‘plataforma’). Em algumas situações, é possível usar um smartphone com autenticador de plataforma como autenticador roaming. As passkeys vinculadas ao dispositivo são tipicamente combinadas com um gesto de autenticação local, como PIN ou biometria, para prover MFA.”
Gartner®, Innovation Insight for Many Flavors of Authentication Token, James Hoover, Ant Allan, 13 de janeiro de 2025.
Passkeys sincronizadas (multidispositivo)
A Gartner explica as passkeys sincronizadas, ou multidispositivo, assim: “Passkeys multidispositivo podem ser sincronizadas entre os dispositivos de uma pessoa (smartphones, tablets, PCs); isto é, entre sistemas operacionais e navegadores de um mesmo fornecedor, ancoradas às contas Apple, Google ou Microsoft da pessoa, ou entre dispositivos que usam o mesmo aplicativo de gerenciador de senhas pessoal (PPM). A autenticação em cada dispositivo é tipicamente habilitada por um método biométrico nativo do dispositivo, que ‘desbloqueia’ as credenciais. Passkeys multidispositivo em um smartphone podem ser usadas em outro dispositivo não sincronizado via uma conexão Bluetooth iniciada por QR code usando o Client to Authenticator Protocol (CTAP).”
Gartner®, Innovation Insight for Many Flavors of Authentication Token, James Hoover, Ant Allan, 13 de janeiro de 2025.
Escolhendo a passkey adequada para o fluxo de autenticação
Devido às suas características distintas, passkeys vinculadas ao dispositivo e passkeys sincronizadas são mais adequadas a cenários diferentes.
Para MFA da força de trabalho e Strong Customer Authentication (SCA), priorize as vinculadas ao dispositivo
As passkeys vinculadas ao dispositivo são mais indicadas para MFA corporativo e SCA por vários motivos: a resistência a phishing (a chave privada permanece no dispositivo e nunca sai dele, de modo que um ataque de phishing não consegue completar a autenticação); conformidade e nível de garantia (em ambientes empresariais e sistemas críticos há requisitos rígidos para autenticação forte, que credenciais específicas por dispositivo atendem melhor); e redução da superfície de ataque (como as credenciais não são sincronizadas, atacantes não conseguem recuperá-las remotamente mesmo que tenham acesso à conta do usuário).
Como a Gartner ressalta: “Sempre que possível, migre para MFA inerentemente resistente a phishing, como tokens de chave pública. Para MFA da força de trabalho e SCA, prefira tokens FIDO2 (por exemplo, WHfB ou autenticadores roaming com passkeys vinculadas ao dispositivo). Essa abordagem vem sendo adotada com sucesso. Embora passkeys multidispositivo possam não satisfazer requisitos de MFA para a força de trabalho ou SCA, elas agregam valor em casos de uso de clientes como alternativa forte às senhas, com melhor UX.”
Gartner, Innovation Insight for Many Flavors of Authentication Token, Ant Allan, James Hoover, Yemi Davies, 13 de janeiro de 2025.
A Thales habilita passkeys vinculadas ao dispositivo por meio de opções seguras de mobile e hardware — especialmente críticas para bancos e outros casos que exigem alto nível de confiança. Para esses casos de uso, passkeys sincronizadas não são suficientes para MFA de colaboradores ou SCA devido aos riscos potenciais da sincronização em nuvem, incluindo acesso não autorizado e comprometimento descentralizado de credenciais.
Passkeys sincronizadas: melhor UX em cenários de baixo risco para consumidores
Enquanto passkeys vinculadas oferecem maior garantia, elas podem gerar atrito em cenários de menor risco. Nesses casos, passkeys sincronizadas apresentam um bom equilíbrio entre usabilidade e segurança.
A Thales considera as passkeys sincronizadas adequadas quando a conveniência do usuário é prioridade — por exemplo, em aplicações voltadas ao consumidor que não estão sob regras rígidas de conformidade (como PSD2). Benefícios incluem: experiência do usuário aprimorada (autenticação fluida entre dispositivos sem necessidade de registro em cada um), segurança superior às senhas tradicionais (ainda que não tão robusta quanto a vinculada ao dispositivo) e redução do ônus de suporte (menos resets de senha, bloqueios e processos complexos de recuperação, diminuindo a carga operacional de TI).
O panorama geral: MFA resistente a phishing e melhor recuperação
Independentemente do setor, a Gartner recomenda migrar de métodos legados de autenticação para MFA inerentemente resistente a phishing, como passkeys FIDO.
A consultoria orienta líderes de IAM a: avaliar os métodos de autenticação quanto a custo total de propriedade (TCO), experiência do usuário (UX), necessidades e restrições específicas, e força da autenticação (incluindo resistência a phishing); reduzir riscos abdicando de métodos legados fracos e migrando para MFA resistente a phishing onde possível; fortalecer a segurança dos processos de registro e recuperação de credenciais investindo em ferramentas de verificação de identidade apropriadas; e baixar barreiras à adoção por clientes simplificando as cerimônias de registro e otimizando a UX.
Gartner, Innovation Insight for Many Flavors of Authentication Token, Ant Allan, James Hoover, Yemi Davies, 13 de janeiro de 2025.
Importante lembrar: segundo o Thales Digital Trust Index 2025, 25% dos consumidores abandonaram uma marca por causa de um processo de cadastro demorado.
Por que a migração para passkeys não pode esperar
Adotar passkeys tornou-se urgente. Regulamentações estão se tornando mais rígidas e os atacantes evoluíram para contornar métodos tradicionais de autenticação. Ataques de credential stuffing exploram a reutilização de senhas, enquanto campanhas de phishing contornam OTPs via SMS ou e-mail.
Ao mesmo tempo, grandes plataformas vêm ativando suporte a passkeys: Apple e Google permitem gerar e sincronizar passkeys via seus gerenciadores nativos; grandes sites e serviços, de Amazon a PayPal, começaram a oferecer suporte; e 87% das organizações nos EUA e no Reino Unido estão implementando passkeys para logins de funcionários.
Essas tendências tornam essencial que organizações avaliem estratégias de implantação de passkeys agora, antes que atacantes e auditores de conformidade antecipes as exigências.
Boas práticas pragmáticas para adoção de passkeys
A abordagem deve ser prática: utilize passkeys vinculadas ao dispositivo onde a garantia é crítica (ambientes corporativos, B2B e B2C de alta sensibilidade) e passkeys sincronizadas onde a conveniência for prioritária (aplicações voltadas ao consumidor ou cenários de menor risco). Alinhe a estratégia de passkeys ao perfil de risco, base de usuários e objetivos de negócio para avançar além das senhas sem comprometer a segurança nem frustrar usuários.
Saiba como passkeys vinculadas a autenticadores FIDO de hardware da Thales, ao Thales Mobile Protector App para bancos digitais e ao Thales SafeNet Mobile PASS+ para ambientes corporativos oferecem segurança forte e sem senha adequada a cenários de alta exigência.
GARTNER é marca registrada e marca de serviço da Gartner, Inc. e/ou suas afiliadas nos EUA e internacionalmente, usada aqui com permissão. Todos os direitos reservados.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.