A era das senhas está chegando ao fim – o que esperar do futuro?
As senhas, outrora padrão ouro para autenticação segura, são há muito um alvo fácil para ataques de phishing. Agora, as chaves de acesso (passkeys) estão prontas para transformar a maneira como nos protegemos online.
Nos sessenta anos desde que a senha digital foi criada, o mundo se transformou. O login por senha foi exigido pela primeira vez em 1961 para o Sistema de Tempo Compartilhado Compatível (CTSS) do MIT, criado pelo professor Fernando Corbato. O IBM 709, em que o CTSS operava, pesava 960kg e ocupava quase 3 metros cúbicos, superando em muito o tamanho dos computadores modernos e dispositivos pessoais. A tecnologia avançou, e o número de serviços e contas que os usuários em todo o mundo são obrigados a acessar proliferou, mas as senhas persistiram.
A persistência das senhas como o principal método de autenticação digital do mundo é notável, pois elas são amplamente detestadas, tanto por usuários quanto por profissionais de cibersegurança. Senhas simples são facilmente lembradas, mas também facilmente adivinhadas. Políticas que exigem que as senhas se tornem cada vez mais complexas e atualizadas regularmente têm pedido mais e mais da memória dos usuários. Isso pode se provar caro, já que redefinir uma única senha esquecida custa a uma empresa um valor estimado em mais de 300 reais, de acordo com a Forrester Research. Os usuários também podem ser tentados a repetir senhas em várias contas. Como consequência, apenas uma senha vazada ou roubada pode ameaçar toda a vida online de um usuário – e de sua organização.
Criando uma internet mais segura
Ataques de phishing, onde criminosos cibernéticos tentam roubar credenciais de contas por meio da engenharia social, são o ponto de partida para 90% de todos os ataques cibernéticos, segundo a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA. Uma vez que uma senha é roubada, os criminosos cibernéticos também podem contornar com sucesso muitas formas legadas de autenticação multifatorial (MFA). Proteção confiável exige MFA moderna e resistente a phishing, como a YubiKey, uma chave de segurança de hardware que impede ataques remotos exigindo um toque físico. A YubiKey foi criado por Stina e Jacob Ehrensvärd, que fundaram a Yubico em 2007. Eles viram que, embora um hardware mais forte fosse essencial, uma internet melhor exigia um novo tipo de autenticação mais segura. Desde 2013, a Yubico tem trabalhado em direção a esse objetivo como integrante da FIDO (Fast Identity Online) Alliance, uma ampla colaboração de líderes tecnológicos que buscam reduzir a dependência mundial de senhas.
Como as chaves de acesso transformam a segurança
Para especialistas em segurança, as chaves de acesso representam um grande avanço para autenticação. Ao contrário das senhas, que dependem de segredos compartilhados destinados a serem lembrados, as chaves de acesso são armazenadas nos dispositivos dos usuários: telefones, computadores ou chaves de segurança de hardware como YubiKeys.
Chaves de acesso usam criptografia assimétrica: cada chave de acesso é uma combinação de uma chave pública e uma chave privada, ambos números muito grandes que são ligados por fórmulas matemáticas complexas. A chave pública é armazenada pelo site ou aplicativo, enquanto a chave privada é armazenada no dispositivo do usuário. Ao fazer login, a autenticação bem-sucedida depende de uma validação e ‘aperto de mão’ entre as duas chaves, o que resolve muitos dos problemas inerentes às senhas. As chaves de acesso são resistentes a phishing e não podem ser interceptadas ou roubadas por invasores remotos. Cada chave de acesso é vinculada a um site ou aplicativo específico, então as credenciais não serão enviadas para sites de phishing impostores, mesmo que um usuário seja enganado.
As chaves de acesso permitem uma autenticação verdadeiramente segura e verdadeiramente sem senhas. A melhor prática para um aplicativo ou serviço que deseja adicionar suporte a chaves de acesso é permitir aos usuários a opção de chaves de acesso sincronizadas e vinculadas ao hardware. As chaves de acesso atualmente oferecidas por Apple, Google e Microsoft podem ser sincronizadas entre dispositivos e, em alguns casos, compartilhadas. Isso adiciona conveniência para os consumidores mas, embora ainda muito mais seguras do que senhas, podem oferecer oportunidades para criminosos cibernéticos se os dispositivos forem roubados ou sincronizados com muita liberdade. Usar chaves de acesso vinculadas ao hardware armazenadas em chaves de segurança, como as YubiKeys, oferece uma solução de maior garantia para consumidores e empresas focadas em segurança ou vinculadas por regulamentações de conformidade rigorosas. As YubiKeys não requerem bateria nem conexão com a internet, então podem oferecer autenticação confiável mesmo em ambientes onde dispositivos móveis são restritos ou não fornecidos a todos os funcionários.
As chaves de acesso estão bem posicionadas para transformar a maneira como o mundo autentica. A era das senhas durou tempo suficiente – é uma questão de urgência para mais plataformas e serviços habilitarem chaves de acesso e criarem uma internet mais segura para todos.
Posts recentes
