Na RSA, nossa missão sempre foi eliminar os elos fracos da segurança digital. Hoje, temos o prazer de anunciar um marco significativo nessa jornada: a prévia de nossa solução FIDO móvel, disponível em Aplicativo RSA Authenticator V4.4 para iOS e Android. RSA ID Plus é um servidor com certificação FIDO2 e, com esse marco, nosso aplicativo autenticador para iOS e Android agora é um autenticador com certificação FIDO2.
Isso marca nosso compromisso com o pioneirismo em experiências de usuário seguras, intuitivas e perfeitas - e nossa busca para erradicar as senhas de uma vez por todas.
As senhas são, há muito tempo, uma vulnerabilidade crítica na segurança cibernética, pois dependem da memória e da discrição humanas, o que geralmente leva a senhas fracas e reutilizadas. Por muito tempo, apoiamos soluções sem senha como código QR, biometria, senha de uso único ou autenticadores de hardware certificados pelo FIDO2, como o RSA DS100 para lidar com essas vulnerabilidades.
Esse último marco traz a segurança sem senha para as empresas, adicionando suporte a chaves de acesso vinculadas a dispositivos (FIDO móvel) ao nosso aplicativo RSA Authenticator, oferecendo uma alternativa segura e fácil de usar que elimina a vulnerabilidade favorita dos criminosos cibernéticos, aprimora a segurança organizacional e mantém os usuários conectados e produtivos.
Chaves de acesso têm recebido muita atenção, tanto por causa dos compromissos do Facebook, da Apple e da Amazon com uma solução mais voltada para o consumidor quanto porque a Aliança FIDO adotou o termo "passkey" para qualquer tipo de credencial FIDO. Isso gerou uma certa confusão sobre o que exatamente uma organização quer dizer quando usa a palavra "chave de acesso", o que tentamos esclarecer. esclarecer.
A distinção mais importante que encontramos é a diferença entre as chaves de acesso vinculadas ao dispositivo e as sincronizadas:
- Chaves de acesso vinculadas a dispositivos: Esse tipo de chave de acesso é criado com segurança e armazenado em um único dispositivo. A chave privada nunca sai do dispositivo, o que garante um alto nível de segurança. As senhas vinculadas a dispositivos minimizam o risco de exposição da chave e oferecem proteção robusta contra phishing e outras ameaças cibernéticas. Isso significa que a chave de acesso não pode ser usada em outro dispositivo sem ser registrada manualmente de novo, o que a torna a opção ideal para empresas e organizações do setor público. Essas soluções são resistentes a phishing e oferecem um grau mais alto de segurança.
- Chaves de acesso sincronizadas: As senhas sincronizadas são armazenadas e sincronizadas em vários dispositivos por meio de serviços em nuvem, proporcionando a conveniência de acessar serviços em diferentes dispositivos sem a necessidade de registrar cada um deles individualmente. Elas também permitem a recuperação da senha se o dispositivo host for perdido, roubado ou substituído, o que é especialmente útil, pois os usuários costumam atualizar seus telefones celulares a cada dois anos. Embora isso melhore a conveniência do usuário, requer medidas de segurança robustas para proteger as senhas sincronizadas na nuvem. As senhas sincronizadas podem ser adequadas para o uso do consumidor, mas talvez não ofereçam o mesmo nível de segurança necessário para ambientes federais e corporativos.
Ao implementar uma solução de chave de acesso vinculada a um dispositivo no aplicativo RSA Authenticator para iOS e Android, ajudamos a fortalecer a segurança de nossos clientes. Confiança zero garantindo um caminho direto e profundamente integrado para a autenticação sem senha resistente a phishing. Essa tecnologia elimina os pontos fracos das senhas tradicionais, oferecendo uma experiência de usuário perfeita e intuitiva.
Philip Corriveau, nosso chefe de UX, enfatiza por que esse desenvolvimento é importante: "Na RSA, acreditamos que a segurança não deve ser uma barreira, mas sim uma parte contínua da experiência do usuário. Com o suporte a passkeys vinculadas a dispositivos no aplicativo RSA Authenticator para iOS e Android, não estamos apenas aprimorando a segurança; estamos transformando a forma como os usuários interagem com suas identidades digitais."
As chaves de acesso vinculadas a dispositivos oferecem várias camadas de segurança que neutralizam ataques comuns:
- Phishing: Como a chave privada nunca sai do dispositivo, os invasores não podem interceptá-la ou roubá-la por meio de tentativas de phishing. É tecnicamente impossível fazer phishing da chave de acesso diretamente do dispositivo de um usuário. Embora os malfeitores possam tentar obter acesso à nuvem por phishing para fazer o download de uma cópia da chave, a própria chave privada permanece segura no dispositivo, impedindo que a maioria dos ataques seja bem-sucedida.
- Engenharia social: Com as senhas vinculadas a dispositivos, a chave privada não pode ser compartilhada ou extraída. Os usuários não precisam acessar, lembrar ou manusear a chave privada, o que reduz significativamente o risco de ataques de engenharia social. Os invasores não podem enganar os usuários para que revelem algo a que não têm acesso.
- Adversário no meio: Mesmo que um invasor intercepte a comunicação entre um serviço e o autenticador, ele não poderá usar somente a chave pública para obter acesso.
Embora quase todas as organizações de todos os setores possam se beneficiar do Mobile FIDO, a solução pode ser especialmente valiosa para os órgãos governamentais que se esforçam para atender ao mandato presidencial de segurança cibernética e cumprir com Ordem Executiva 14028 até o final do ano fiscal.
A EO14028 exige que os órgãos governamentais usem soluções sem senha e resistentes a phishing para autenticar seus usuários. Esse é um componente essencial da modernização e da defesa da infraestrutura essencial, mas exige que os órgãos governamentais ajam rapidamente e implementem uma solução comprovada.
"A chave de acesso vinculada a dispositivos e certificada pela FIDO2 da RSA é um ativo significativo para as agências federais que se esforçam para cumprir o mandato presidencial e o prazo do ano fiscal de 2024", disse o presidente da RSA Federal, Kevin Orr. "Mais do que marcar uma caixa, a RSA pode trazer décadas de pedigree de segurança em primeiro lugar e uma solução unificada, escalável e fácil de usar que pode melhorar a colaboração para o setor público."
Nossa solução FIDO móvel é uma etapa crucial para oferecer uma experiência consistente e perfeita sem senha do início ao fim. O aplicativo RSA Authenticator V4.4 para iOS e Android oferece suporte a FIDO móvel como uma prévia técnica. O recurso FIDO móvel estará disponível de modo geral com o aplicativo RSA Authenticator V4.5 para iOS e Android. Essa versão incluirá aprimoramentos adicionais e uma experiência de usuário simplificada.
A solução FIDO para dispositivos móveis da RSA é uma solução poderosa para ambientes Zero Trust, onde o acesso seguro e sem senha é crucial. As senhas vinculadas a dispositivos se alinham aos princípios Zero Trust, verificando cada tentativa de acesso sem depender de senhas, que são vulneráveis a phishing e roubo de credenciais. Com as senhas vinculadas a dispositivos, a chave privada permanece em segurança no dispositivo original, garantindo que o acesso seja limitado apenas a dispositivos verificados - ideal para proteger forças de trabalho remotas e híbridas.
Além de aumentar a segurança, a solução FIDO móvel da RSA melhora a flexibilidade ao permitir o acesso fácil em ambientes de trabalho, reduzindo as interrupções e mantendo os dados confidenciais protegidos. Como os mandatos do governo exigem autenticação resistente a phishing, a solução FIDO móvel da RSA ajuda as organizações não apenas a proteger as necessidades atuais, mas também a se preparar para os padrões futuros.
Na RSA, estamos na vanguarda da tecnologia sem senha. Nosso compromisso incansável com a inovação nos leva a criar soluções que redefinem a segurança digital. Estamos preparando o caminho para um mundo mais seguro e fácil de usar, fazendo a transição para um ambiente sem senha.
Estamos empolgados em continuar essa jornada com você e esperamos disponibilizar nossa solução FIDO móvel como parte da V4.5. Juntos, podemos definir novos padrões para o setor e liderar o processo rumo a um futuro em que a segurança seja segura e intuitiva.
Fique atento a mais atualizações e insights à medida que continuamos a liderar o processo rumo a um futuro sem senhas.
###
A RSA lançou o aplicativo Authenticator 4.5 em dezembro de 2024. Saiba mais sobre a inovação que está trazendo autenticação resistente a phishing, sem senha e com certificação FIDO2 diretamente nos dispositivos móveis dos usuários. Ou, se você for um administrador, Saiba como ativar o recurso no RSA ID Plus.
