As senhas estão se tornando cada vez mais comuns graças a serviços ao consumidor, como Google, Apple, Facebook, Meta e outros. O uso de chaves de acesso aumenta significativamente a segurança em comparação com os logins tradicionais baseados em senhas.
É normal que algumas soluções para o consumidor sejam transferidas para o uso profissional - pense em poder enviar reações de emojis para e-mails. Mas só porque o Instagram me permite fazer login usando uma chave de acesso, isso significa que as empresas deveriam fazê-lo?
Resumindo: as chaves de acesso estão prontas para uso empresarial?
O Aliança FIDO foi fundada em 2013 por várias empresas para desenvolver um padrão de autenticação que serviria como um segundo fator; atualmente, o FIDO pode servir como um método de autenticação forte sem senha.
Desde 2013, a FIDO se tornou um dos métodos de login sem senha mais populares, em grande parte porque cumpre o acrônimo que compõe seu nome: fornece identidade rápida on-line. A FIDO Alliance tem um forte foco no ambiente do consumidor. Não é de se admirar, pois seus maiores membros são ativos nessa área: Apple, Google, PayPal e Microsoft. (A RSA é membro da FIDO Alliance e co-preside o Grupo de Trabalho de Implantação de Empresas).
As credenciais FIDO usam pares de chaves assimétricas para autenticar em um serviço. Quando uma credencial FIDO é registrada em um serviço, um novo par de chaves é gerado no autenticador FIDO e o serviço passa a confiar nesse par de chaves - e somente nesse par de chaves. O par de chaves é conectado ao nome de domínio exato do serviço.
Esse emparelhamento rigoroso entre um serviço e uma credencial FIDO é o que cria um alto grau de resistência a phishing: se um usuário tentasse fazer login em um site falso de phishing com a chave de acesso criada para o site real, ele falharia porque o nome do domínio não corresponderia ao par de chaves.
Em 2022, a Apple, o Google e a Microsoft lançaram o suporte para um novo tipo de credencial FIDO, que eles chamaram de chave de acesso. Em 2023, a FIDO Alliance adotou o termo "chave de acesso" para qualquer tipo de credencial FIDO, levando a uma possível confusão sobre o que exatamente uma organização quer dizer quando menciona "passkeys".
Essa possível ambiguidade foi abordada pela FIDO Alliance (veja abaixo), mas ainda pode existir nas organizações. É importante abordar essa ambiguidade, pois nem todas as chaves de acesso são iguais ou apropriadas para uso corporativo.
Tipos de chaves de acesso
Agora existem dois tipos de chaves de acesso, conforme definido pela FIDO Alliance: vinculadas a dispositivos e sincronizadas.
Chaves de acesso vinculadas ao dispositivo vs. chaves de acesso sincronizadas
As senhas vinculadas a dispositivos geralmente são hospedadas em dispositivos específicos de "chave de segurança". Em uma senha vinculada a um dispositivo, os pares de chaves são gerados e armazenados em um único dispositivo; além disso, o material da chave em si nunca sai desse dispositivo. Esse tipo de chave de acesso é geralmente considerado mais seguro porque a chave privada nunca sai do dispositivo, o que a torna resistente à extração ou ao comprometimento remoto. No entanto, isso também significa que, se o dispositivo for perdido ou danificado, o usuário precisará registrar novamente a chave de acesso no dispositivo quando ele for recuperado ou adicioná-la a um novo dispositivo, se necessário. As chaves de acesso vinculadas a dispositivos são particularmente favorecidas em ambientes de alta segurança e casos de uso corporativo, geralmente aproveitando hardware como chaves de segurança ou módulos de plataforma confiáveis (TPMs).
Chaves de acesso sincronizadas
Com as chaves de acesso sincronizadas, o material da chave é salvo por meio da chamada estrutura de sincronização remota, e o material da chave pode ser restaurado em qualquer outro dispositivo do mesmo usuário. Os principais tecidos de sincronização atuais são Microsoft, Google e Apple. Isso significa que, se você registrar seu telefone Android como uma chave de acesso, o material da chave correspondente estará disponível em todos os seus outros dispositivos Android logo em seguida.
As senhas sincronizadas são - além de terem o suporte de serviços amplamente usados, como o WhatsApp ou o Facebook - o principal motivo do aumento acentuado do uso geral de senhas. É fácil entender o motivo: um usuário com muitas contas e muitos dispositivos pode usar a mesma senha sincronizada em todos eles.
O Passkeys substitui as senhas tradicionais por pares de chaves criptográficas, proporcionando uma autenticação forte e resistente a phishing. Quando um usuário se registra em um serviço, seu dispositivo gera um par exclusivo de chaves públicas e privadas. A chave privada permanece armazenada com segurança no dispositivo do usuário, enquanto a chave pública é compartilhada com o serviço. Durante o login, o dispositivo comprova a posse da chave privada assinando um desafio do serviço, e a assinatura é verificada usando a chave pública armazenada. Nenhum segredo compartilhado é transmitido e nenhuma senha é criada ou armazenada, reduzindo drasticamente o risco de roubo de credenciais ou ataques de repetição.
As senhas tradicionais se baseiam em segredos compartilhados que podem ser adivinhados, roubados ou fraudados, o que as torna um ponto de entrada comum para os invasores. Elas geralmente são reutilizadas em várias contas, armazenadas de forma insegura e vulneráveis a ataques de força bruta ou de preenchimento de credenciais.
As chaves de acesso eliminam esses riscos ao substituir as senhas por criptografia de chave pública-privada. A chave privada nunca sai do dispositivo do usuário, e a autenticação ocorre ao provar a posse dessa chave, sem transmiti-la. Essa abordagem torna obsoletos os vetores de ataque mais comuns, incluindo phishing, roubo de credenciais e reutilização de senhas. Para as organizações, as chaves de acesso oferecem um salto na autenticação segura e, ao mesmo tempo, reduzem a carga de redefinições de senha e tíquetes de suporte.
- Resistente a phishing: As chaves de acesso são projetadas para evitar ataques tradicionais de phishing. Como não há nenhuma senha envolvida, não há nada para roubar ou reutilizar.
- Rápido e conveniente: Fazer login com uma chave de acesso geralmente é tão simples quanto usar a biometria (como o Face ID ou uma impressão digital), tornando a experiência mais fácil para os usuários.
- Experiência de usuário familiar: Os logins Passkey se assemelham aos padrões comuns de autenticação móvel, portanto, há pouca ou nenhuma curva de aprendizado.
- Segurança de correspondência de domínios: As chaves de acesso oferecem uma camada extra de proteção, garantindo que o material da chave funcione apenas com o domínio de serviço original - um benefício que nem todos os métodos de MFA oferecem.
- Aprovado pelo governo: Nos EUA, a resistência ao phishing é um dos principais motivadores das exigências federais. Ordem Executiva 14028 requer autenticação sem senha e resistente a phishing para proteger a infraestrutura crítica.
Embora as chaves de acesso ofereçam vantagens significativas, elas também apresentam alguns desafios e problemas significativos.
- Experiência do usuário: Os prompts da Passkey, como solicitações para inserir a chave de segurança na porta USB ou digitar o PIN, por exemplo, têm aparência diferente dependendo do sistema operacional e do navegador. Esses avisos provavelmente dificultarão o treinamento dos usuários e aumentarão as chamadas de suporte.
- Distração de outros ataques: Qualquer pessoa que pense que o uso de chaves de acesso as torna subitamente imunes a ataques de engenharia social do tipo desvio de MFA está muito enganada. As chaves de acesso ajudam contra um tipo de ataque de engenharia social: phishing. Infelizmente, há outras variantes. Os ataques ao MGM Resorts ou ao Caesars Palace em Las Vegas tinham um componente de engenharia social: explorar o help desk para permitir que o invasor registrasse ele mesmo um autenticador MFA.
- Perda do dispositivo ou desafios de atualização: Se os usuários perderem o acesso a um dispositivo (e não tiverem ativado a sincronização ou o backup), eles poderão ter problemas para recuperar suas chaves de acesso, especialmente no caso de chaves vinculadas a dispositivos.
- Suporte limitado em todos os serviços: Embora a adoção esteja crescendo, nem todos os sites ou sistemas corporativos ainda suportam passkeys, o que pode limitar sua usabilidade no dia a dia.
- Confusão do usuário ou falta de conhecimento: O conceito de chaves de acesso ainda é novo para muitos usuários, o que pode gerar confusão sobre a configuração, a sincronização ou o que realmente está acontecendo nos bastidores. As variações na terminologia (chaves de acesso, chaves de segurança, chaves FIDO) e a evolução dos padrões no setor podem aumentar essa confusão e tornar difícil para os usuários e as organizações entenderem claramente as práticas recomendadas e implementarem e adotarem as chaves de acesso de forma consistente. Isso também pode levar a erros durante a configuração e o uso, ao aumento de chamadas de suporte e a possíveis falhas na segurança.
- Prontidão da infraestrutura: A implementação de passkeys pode exigir que as organizações atualizem as plataformas de identidade, as políticas de gerenciamento de dispositivos e os esforços de treinamento, especialmente ao abandonar a autenticação herdada. As organizações podem descobrir que os recursos legados ou locais podem não ser compatíveis com as senhas devido à autenticação somente na Web. Nesses casos, as organizações devem modernizar sua MFA com recursos sem senha que possam abranger ambientes e manter a infraestrutura legada.
Considerando os desafios que os passkeys atuais apresentam quando se trata de fornecer fluxos de trabalho uniformes em vários navegadores, dispositivos e sistemas operacionais, o que o setor pode fazer para garantir uma experiência verdadeiramente perfeita e entre plataformas? Como podemos determinar o melhor caminho para resolver as inconsistências que podem confundir os usuários e impedir a adoção generalizada? Na RSA, nossa liderança em UX está ativamente envolvida nos grupos de trabalho da FIDO Alliance para defender experiências de usuário consistentes. Ao contribuir com nossos insights, pretendemos ajudar a moldar padrões que resultem em menos distrações, menos atrito e mais uniformidade para os usuários finais.
A mobilidade é outro aspecto da criação de uma experiência de chave de acesso perfeita em todos os ambientes. Os usuários da força de trabalho esperam cada vez mais a conveniência de fluxos de trabalho que priorizam a mobilidade. Se o acesso aos recursos corporativos em um smartphone parecer tão intuitivo quanto o desbloqueio desse mesmo dispositivo, a adoção de novos métodos de autenticação, como as senhas, será significativamente mais fácil. Uma experiência móvel sem atritos ajuda a quebrar a resistência do usuário, minimizando a curva de aprendizado e tornando a transição das senhas muito mais suave. Ao fornecer uma interface que seja familiar, transparente em relação às permissões e consistente, independentemente do dispositivo ou da plataforma do usuário, as organizações podem reduzir a confusão e aumentar a confiança. A solução FIDO móvel da RSA serve como exemplo de como implementar uma chave de acesso de maneira independente do dispositivo.
Dizem que quando se tem um martelo, tudo pode parecer um prego. Transformar uma solução - mesmo que seja uma ótima solução - que foi originalmente planejada para uso do consumidor em um aplicativo corporativo pode introduzir riscos significativos.
Ao ler este artigo, você pode ter tido uma sensação de desconforto ao ouvir a menção de "tecido sincronizado". Sua intuição estava certa.
O fato de as chaves de acesso aparecerem como que por mágica em todos os dispositivos nos quais o usuário está conectado via Apple ou Google é um grande sinal de alerta no ambiente corporativo e deve levantar algumas questões importantes:
- Os usuários devem ter permissão para usar vários dispositivos (possivelmente também usados de forma privada) para autenticação? Se sim... quantos?
- As chaves de acesso sincronizadas possibilitam a restauração de uma chave de acesso "perdida" com os processos de recuperação de conta do Google ou da Apple, por exemplo. Isso é ótimo... mas esses processos são seguros o suficiente para você?
- O recurso da Apple que permite que os usuários compartilhem chaves de acesso com amigos ou familiares é muito bom... mas será que isso também se aplica às chaves de acesso usadas para fazer login em aplicativos corporativos?
Ao usar senhas sincronizadas, a segurança de sua empresa passa a depender em grande parte da segurança técnica e organizacional da Apple e do Google. Claro, há uma certa dependência de qualquer forma devido ao uso de iOS e Android-mas as chaves de acesso sincronizadas aumentam consideravelmente essa dependência.
Essa também não é uma vulnerabilidade teórica. No ano passado, a Retool discutiu como os agentes de ameaças a utilizaram para obter acesso a seus sistemas: Retool escreveu que a funcionalidade significa que "se sua conta do Google for comprometida, seus códigos MFA também serão".
Essa também não é uma vulnerabilidade teórica. No ano passado Retool discutiu como os agentes de ameaças a utilizaram para obter acesso a seus sistemas: Retool escreveu que a funcionalidade significa que "se sua conta do Google estiver comprometida, seus códigos MFA também estarão".
Não é possível responder de maneira geral se as chaves de acesso devem ser usadas na empresa. Cada organização é diferente e deve equilibrar suas prioridades operacionais e de segurança exclusivas.
Além disso, o uso de senhas não deve ser uma questão de sim ou não. A introdução de chaves de acesso ou logins sem senha em geral deve ser usada para revisar fundamentalmente todos os processos de MFA de uma organização. O que foi bom para os tokens OTP de hardware por 15 anos provavelmente não é mais totalmente verdadeiro para as chaves de acesso ou outros métodos de MFA atualmente.
A RSA acredita que as chaves de acesso podem ser implementadas para uso corporativo se estiverem alinhadas com a estratégia organizacional e se as organizações pensarem nas respostas às seguintes perguntas. Vimos organizações usarem passkeys com sucesso usando RSA® ID Plus, nossa abrangente plataforma de gerenciamento de identidade e acesso (IAM), que oferece uma variedade de opções sem senha.
Como somos uma organização que prioriza a segurança e usamos os princípios Secure by Design / Secure by Default, evitamos o uso de senhas sincronizadas por padrão. Somente as senhas vinculadas a dispositivos estão disponíveis por padrão nos ambientes RSA para fornecer o nível máximo de segurança pronta para uso e sem nenhum trabalho extra por parte dos administradores.
Ao avaliar a introdução de passkeys, as organizações devem perguntar: Como nossos autenticadores são registrados? Existem processos que lidam com segurança com o cenário "Perdi meu autenticador"? E quanto à classificação de usuários, aplicativos e dados?
As chaves de acesso são um Método MFA entre outros. Sim, sua resistência a phishing é fantástica, mas os usuários podem fazer login com ele em seus desktops remotos?
Por esses e muitos outros motivos, é importante que seu sistema MFA não seja apenas tecnicamente atualizado, mas que também ofereça suporte a uma ampla variedade de métodos MFA, como códigos QR, biometria, OTP, mensagens push e chaves de acesso.
Também é importante que os processos relacionados à MFA sejam adaptados às novas ameaças. Isso vai muito além do sistema MFA real: seu help desk também está protegido contra ataques de engenharia social?
Se as chaves de acesso fazem sentido para você, queremos ajudar. Entre em contato conosco para saber mais ou iniciar um teste gratuito de 45 dias do ID Plus.
