As credenciais roubadas continuam sendo um dos dois principais vetores de acesso inicial em todos os setores, de acordo com o Relatório de Investigações sobre Vazamentos de Dados da Verizon de 2026—e, no caso dos bancos, onde as contas digitais oferecem acesso direto a serviços financeiros, elas continuam a impulsionar fraudes de apropriação de contas, o uso de credenciais roubadas e campanhas de phishing em tempo real em grande escala.
A resposta regulatória tem sido inequívoca: a PSD3 e a PSR1 estão sendo ativamente implementadas nos Estados-Membros da UE, a DORA está em vigor e os órgãos reguladores da UE, dos Estados Unidos e da Ásia-Pacífico estão convergindo para um único requisito — a autenticação resistente ao phishing.
As chaves de acesso FIDO2 são, atualmente, o caminho mais claro para atingir esse padrão. Mas a discussão não se limita às chaves de acesso. O surgimento da computação quântica significa que os fundamentos criptográficos da arquitetura de autenticação atual enfrentam uma ameaça de longo prazo para a qual as instituições com visão de futuro precisam se preparar já hoje. Este artigo aborda como a autenticação sem senha FIDO2 funciona no setor bancário, o que a PSD3 e a PSR1 exigem e por que a criptografia pós-quântica deve fazer parte do seu plano de ação — além de oito perguntas para avaliar a situação atual da sua instituição.
A fraude bancária moderna raramente tem como alvo apenas as senhas. Os invasores exploram os sistemas construídos em torno delas: proxies de phishing em tempo real interceptam códigos de uso único enviados por SMS antes que os usuários terminem de digitá-los; ataques de troca de SIM redirecionam mensagens de verificação para dispositivos controlados pelos invasores; e a engenharia social em pontos de contato do suporte técnico contorna totalmente a autenticação primária. A autenticação baseada em segredos compartilhados cria superfícies de ataque que os controles de política, por si só, não conseguem eliminar.
O que faz com que o setor bancário seja um alvo de grande valor para ataques a credenciais?
A fraude por apropriação de conta continua sendo o principal vetor de ataque no setor bancário digital. Ferramentas de “credential stuffing” testam bilhões de combinações de nome de usuário e senha previamente expostas em portais bancários, por meio de campanhas automatizadas. A autenticação multifatorial (MFA) elevou o nível de segurança — mas nem todas as formas de MFA são iguais. As senhas de uso único (OTP) por SMS e as notificações push continuam suscetíveis a phishing: um invasor que induza um usuário a aprovar uma notificação push em tempo real obtém acesso, independentemente do segundo fator no fluxo de autenticação.
As chaves de acesso FIDO2 resolvem essa questão no nível da arquitetura, e não no nível das políticas. Ao eliminar segredos compartilhados e vincular as credenciais a domínios específicos de partes confiantes (RP), elas eliminam o mecanismo que torna o phishing economicamente viável — não há nada para interceptar, retransmitir ou reproduzir.
O FIDO2 é um padrão aberto de autenticação desenvolvido pela Aliança FIDO em colaboração com o W3C. Sua especificação WebAuthn permite que navegadores e aplicativos autentiquem usuários por meio de credenciais criptográficas — chaves de acesso — em vez de senhas.
Quando um usuário registra uma senha de acesso, o dispositivo gera um par de chaves pública e privada. A chave privada nunca sai do dispositivo; o banco armazena apenas a chave pública. Durante a autenticação, o banco envia um desafio; o dispositivo o assina com a chave privada; o banco verifica a assinatura. Nenhum segredo é transmitido. Cada credencial também está criptograficamente vinculada a um domínio específico, de modo que não pode ser usada em um site de phishing — mesmo que seja uma réplica visual perfeita, até no último pixel, do portal bancário legítimo.
Chaves de acesso versus chaves de segurança de hardware: qual é a opção mais adequada para o seu banco?
As chaves de acesso apresentam-se em duas formas principais. As chaves de acesso sincronizadas são replicadas entre os dispositivos de um usuário por meio de ecossistemas de plataforma, como o iCloud Keychain da Apple ou o Gerenciador de Senhas do Google. Elas simplificam a recuperação e são ideais para clientes de varejo. As chaves de acesso vinculadas a um dispositivo específico estão ligadas a um único dispositivo e nunca são exportadas, oferecendo maior segurança para acesso privilegiado, usuários de serviços bancários corporativos ou fluxos de transações de alto valor.
Para instituições que exigem o mais alto nível de segurança — bancos corporativos, administradores com privilégios ou contextos que exigem a separação do dispositivo principal do usuário —, as chaves de segurança de hardware oferecem um autenticador dedicado, sem exposição à internet e com verificação obrigatória da presença do usuário a cada utilização. A RSA Série iShield Key 2 oferece autenticação por hardware certificada pela norma FIDO2 que se integra com RSA ID Plus em ambientes na nuvem, híbridos e locais — permitindo que os bancos implantem o autenticador adequado para cada grupo de usuários a partir de uma única plataforma.
A RSA implantou a autenticação sem senha FIDO2 em toda a sua força de trabalho global, alcançando uma adoção quase total nos terminais gerenciados em doze meses. O relato completo — incluindo como lidar com dependências legadas e a gestão de mudanças em escala empresarial — está documentado no Por dentro da RSA: Implantação de soluções FIDO e sem senha em escala estudo de caso, desenvolvido em colaboração com a Aliança FIDO.
O FIDO2 pode atender aos requisitos de Autenticação Forte do Cliente (SCA) da PSD2 quando implementado corretamente. O dispositivo autenticador fornece o fator de posse; um dado biométrico ou PIN fornece o fator de inerência ou conhecimento. A vinculação dinâmica — que associa a autenticação a um valor específico da transação e a um beneficiário — pode ser incorporada aos fluxos do FIDO2, tornando-o uma solução completa de SCA tanto para a autenticação de identidade quanto para a aprovação de pagamentos.
O que a PSD3/PSR1 traz de novo para a autenticação bancária?
A PSD3 e seu regulamento complementar, o PSR1, alcançaram um acordo político em 2025 e estão em fase de implementação ativa, com prazos de transição que se estendem até 2027 e 2028. Três mudanças são as mais significativas para as equipes de autenticação. Primeiro, a PSD3/PSR1 introduz expectativas mais rigorosas para a SCA resistente a phishing — indo além do modelo básico de dois fatores da PSD2 em direção a métodos que não possam ser interceptados ou retransmitidos. Segundo, os bancos enfrentam maior responsabilidade em casos de fraude em que a autenticação resistente a phishing estava disponível, mas não foi implantada. Em terceiro lugar, as instituições devem fornecer métodos alternativos obrigatórios de autenticação para usuários que não possam utilizar o método principal, o que exige uma arquitetura com múltiplos autenticadores, em vez da implantação de um único método.
O modelo FIDO2, com senhas vinculadas ao dispositivo ou chaves de segurança de hardware, está em total conformidade com as diretrizes da PSD3/PSR1. As instituições que já implementaram o modelo FIDO2 estarão em melhor posição para comprovar sua conformidade — e para apresentar os registros de revisão de acesso e a documentação de auditoria que os órgãos reguladores solicitarão. Governança e ciclo de vida da RSA automatiza os registros de revisão de acesso e os relatórios de conformidade, reduzindo o tempo de preparação para auditorias de semanas para horas.
A computação quântica capaz de quebrar a criptografia assimétrica atual ainda não está disponível comercialmente. O problema de planejamento, no entanto, já existe. A estratégia de ataque conhecida como “coletar agora, descriptografar depois” — coletar tráfego de rede criptografado hoje com a intenção de descriptografá-lo assim que as capacidades quânticas amadurecerem — já está sendo executada por agentes de ameaças sofisticados que têm como alvo instituições de alto valor. Para os bancos, onde o tráfego de autenticação e os dados de clientes de longo prazo representam alvos de interesse contínuo, isso representa um horizonte de risco real que exige ação antes que a ameaça quântica se concretize.
O que é a ameaça do tipo “colher agora, descriptografar depois”?
A criptografia de chave pública padrão atual — base do TLS, das assinaturas digitais e das operações de credenciais FIDO2 — depende de problemas matemáticos que os computadores clássicos não conseguem resolver em grande escala. Um computador quântico suficientemente potente, executando o algoritmo de Shor, poderia resolver esses problemas com eficiência, expondo retroativamente quaisquer dados criptografados de acordo com os padrões atuais. Instituições que armazenam ou transmitem dados relacionados à autenticação devem partir do princípio de que adversários sofisticados já podem estar arquivando esses dados para uma futura descriptografia.
Os padrões pós-quânticos do NIST e o caminho a seguir para os bancos
Em agosto de 2024, O NIST finalizou suas três primeiras normas de criptografia pós-quântica: ML-KEM (encapsulamento de chaves baseado em reticulados), ML-DSA (assinaturas digitais baseadas em reticulados) e SLH-DSA (assinaturas baseadas em hash) — todas projetadas para oferecer segurança contra ataques clássicos e quânticos. A Aliança FIDO está trabalhando ativamente para incorporar algoritmos de PQC ao padrão FIDO2, o que permitirá que as chaves de acesso e as chaves de segurança de hardware mantenham suas propriedades de resistência ao phishing à medida que a computação quântica avança.
O suporte do RSA ID Plus para implantação híbrida e local oferece às instituições financeiras flexibilidade arquitetônica à medida que os padrões de PQC são incorporados à infraestrutura de identidade. Em vez de exigir uma única migração em grande escala, os bancos podem fortalecer os métodos de autenticação já hoje e incorporar algoritmos resistentes à computação quântica à medida que as especificações de PQC da Aliança FIDO amadurecem. Explore Recursos completos de autenticação sem senha da RSA.
Essas perguntas foram elaboradas com base na experiência da RSA em implantações corporativas e nas diretrizes regulatórias atuais para instituições financeiras. Utilize-as para identificar lacunas antes que elas se transformem em constatações de auditoria.
- Você já mapeou todas as dependências de senha nos seus fluxos de cadastro, recuperação e políticas — e não apenas no caminho principal de login?
Os fluxos de cadastro e recuperação de conta são as dependências relacionadas a senhas mais comumente ignoradas. Eliminá-las antes de implementar as chaves de acesso é essencial para uma arquitetura verdadeiramente sem senhas.
- Seus métodos atuais de autenticação atendem aos requisitos da SCA da PSD3/PSR1 em termos de resistência ao phishing, incluindo a vinculação dinâmica para autorização de pagamentos?
O FIDO2 pode atender aos requisitos da SCA — mas os detalhes de implementação determinam a conformidade. Verifique se sua configuração abrange tanto a autenticação de identidade no login quanto a assinatura da transação na aprovação do pagamento.
- Sua arquitetura de autenticação é capaz de suportar vários tipos de autenticadores para diferentes grupos de usuários — clientes de varejo, clientes corporativos, funcionários de agências e administradores com privilégios?
Um único tipo de autenticador raramente atende às necessidades de todos os grupos de usuários. A arquitetura com múltiplos autenticadores é um requisito de planejamento, não uma atualização futura.
- Os seus processos de recuperação de conta são tão seguros quanto o seu método principal de autenticação?
Os fluxos de recuperação costumam ser o ponto mais fraco em arquiteturas que, de outra forma, seriam resistentes ao phishing. A engenharia social no caminho de recuperação do suporte técnico é um vetor de ataque bem documentado.
- Os seus contratos com terceiros na área de TIC para serviços de autenticação estão em conformidade com os requisitos do Artigo 30 da DORA — incluindo garantias de disponibilidade, prazos para notificação de incidentes e direitos de auditoria?
Os serviços de autenticação são considerados serviços críticos de TIC prestados por terceiros nos termos da DORA. Os contratos celebrados antes de janeiro de 2025 podem precisar de alterações antes da sua próxima revisão de supervisão.
- Você já avaliou a vulnerabilidade pós-quântica da sua pilha de autenticação atual — especificamente, quais algoritmos criptográficos estão em uso e quais precisarão ser substituídos?
Este é um exercício de planejamento que deve começar agora, enquanto os prazos ainda são longos o suficiente para agirmos de forma metódica, em vez de reativa.
- Sua plataforma de identidade oferece suporte à implantação híbrida ou local para garantir resiliência operacional e conformidade com as normas de residência de dados?
A autenticação exclusivamente na nuvem, sem failover híbrido, pode não atender aos requisitos de continuidade operacional da DORA. A implantação híbrida é, cada vez mais, uma expectativa regulatória.
- A sua plataforma é capaz de gerar automaticamente os registros de revisão de acesso, os registros de incidentes e os relatórios de conformidade exigidos pelas normas DORA, PSD3/PSR1 e pelas auditorias regulatórias nacionais?
A elaboração manual de relatórios de conformidade em grande escala não é sustentável. A automação deve ser um critério explícito de seleção na avaliação de plataformas de autenticação.
RSA ID Plus foi concebido para responder “sim” a todas as oito perguntas. Conheça as soluções de autenticação sem senha da RSA ou solicitar uma consulta junto à equipe de segurança de identidade da RSA.
A banca sem senha não é uma simples decisão sobre um produto — trata-se de uma mudança arquitetônica que abrange métodos de autenticação, fluxos de recuperação de contas, documentação regulatória, contratos com terceiros e planejamento criptográfico de longo prazo. As chaves de acesso FIDO2 fornecem a base: resistência ao phishing, criptografia robusta vinculada ao domínio e alinhamento regulatório direto com a PSD3/PSR1 e a DORA. Uma implantação bem-sucedida requer um planejamento coordenado em todas essas dimensões.
A RSA implementou a autenticação sem senha FIDO2 em toda a sua força de trabalho global, documentando cada desafio de integração, dependência de sistemas legados e obstáculo à gestão de mudanças ao longo do processo. Explore os recursos sem senha da RSA, leia o Estudo de caso sobre a implantação da RSA em empresas, ou solicitar uma consulta para avaliar o grau de preparação da sua instituição.
A autenticação sem senha no setor bancário substitui senhas e segredos compartilhados por credenciais criptográficas que autenticam os usuários sem transmitir dados confidenciais. As chaves de acesso FIDO2 utilizam criptografia de chave pública-privada: a chave privada nunca sai do dispositivo do usuário; o banco verifica uma assinatura criptográfica. As credenciais são vinculadas ao domínio, eliminando o phishing e a reutilização de credenciais como vetores de ataque.
Quando um usuário registra uma chave de acesso, o dispositivo gera um par de chaves pública e privada. A chave privada é armazenada com segurança no dispositivo e nunca é exportada. Durante a autenticação, o banco envia um desafio; o dispositivo o assina com a chave privada; o banco verifica a assinatura em relação à chave pública armazenada. Cada credencial está criptograficamente vinculada ao domínio do banco, de modo que não pode ser usada em sites de phishing.
O FIDO2 pode atender aos requisitos de Autenticação Forte do Cliente da PSD3/PSR1 quando implementado corretamente. Chaves de acesso vinculadas a dispositivos ou chaves de segurança de hardware atendem ao fator de posse; um dado biométrico ou PIN atende ao fator de inerência ou conhecimento. A ligação dinâmica para autorização de pagamentos pode ser incorporada aos fluxos do FIDO2. Os bancos devem confirmar se sua implementação específica abrange tanto a autenticação de identidade quanto a assinatura de transações.
As chaves de acesso sincronizadas são replicadas entre dispositivos por meio de ecossistemas de plataforma, como o iCloud Keychain ou o Google Password Manager, melhorando a usabilidade e possibilitando a recuperação por conta própria. As chaves de acesso vinculadas a um dispositivo específico estão associadas a um único autenticador e nunca são exportadas, oferecendo maior segurança para acesso privilegiado, serviços bancários corporativos ou transações de alto valor.
A autenticação pós-quântica utiliza algoritmos criptográficos resistentes a ataques de computadores quânticos. O atual FIDO2 se baseia na criptografia de curvas elípticas, que um computador quântico suficientemente potente poderia quebrar. A ameaça do tipo ”coletar agora, descriptografar depois” significa que os adversários podem já estar arquivando o tráfego de autenticação criptografado para descriptografia futura. O NIST finalizou três padrões de criptografia pós-quântica em agosto de 2024. Os bancos devem incluir o planejamento da migração para a PQC em seus planos de autenticação já a partir de agora.
A DORA exige que as instituições financeiras da UE mantenham a continuidade operacional dos sistemas de TIC — incluindo serviços de autenticação — durante incidentes cibernéticos. As plataformas de autenticação devem atender aos requisitos do Artigo 30 da DORA para prestadores terceirizados de serviços de TIC, abrangendo garantias de disponibilidade, prazos para notificação de incidentes e direitos de auditoria. A DORA também exige registros de auditoria abrangentes e planos de continuidade de negócios testados que abranjam a disponibilidade do sistema de autenticação.
A PSD3 e a PSR1 reforçam os requisitos da PSD2 relativos à SCA com expectativas explícitas quanto à autenticação resistente ao phishing, maior responsabilidade do banco em casos de fraude em que métodos resistentes ao phishing estavam disponíveis, mas não foram implementados, e métodos alternativos de autenticação obrigatórios. Os prazos de transição se estendem até 2027 e 2028.
A autenticação baseada em nuvem pode atender aos requisitos da DORA se a plataforma e os contratos estiverem em conformidade com o Artigo 30. As instituições que dependem exclusivamente da autenticação em nuvem, sem failover híbrido, podem ter dificuldade em demonstrar a continuidade operacional exigida pela DORA. O RSA ID Plus oferece suporte à autenticação na nuvem, híbrida e local a partir de uma única plataforma, com failover híbrido que garante que os serviços de autenticação permaneçam disponíveis caso a conectividade com a nuvem seja interrompida.