Práticas recomendadas sem senha e resistentes a phishing: Leia o relatório do Gartner®.

Ouvimos muito sobre a necessidade urgente de resistência a phishing e, com certeza, o phishing representa uma ameaça significativa - como os recentes ataques a Mudança no setor de saúde e Fidelity Investments demonstrar.

Phishing é um tipo de ataque cibernético em que os invasores enganam os usuários para que revelem credenciais ou informações confidenciais, geralmente por meio de e-mails, sites ou mensagens enganosas. Os métodos de autenticação resistentes a phishing, incluindo abordagens sem senha, são projetados para evitar o roubo de credenciais, vinculando a autenticação a um dispositivo ou origem e eliminando segredos compartilhados.

Autenticação sem senha: o que você está esperando?

Também ouvimos muito sobre a importância da autenticação sem senha para tornar as organizações resistentes a phishing, com diretrizes como M-22-09, Executive Order 14028 e M24-14 exigindo mais do que apenas a autenticação multifator (MFA). OMB - M-22-09 declara: "As agências são incentivadas a buscar um maior uso da autenticação multifatorial sem senha à medida que modernizam seus sistemas de autenticação."

No entanto, a necessidade de não usar senhas vai além do combate ao phishing, criando ambientes de autenticação mais amplos que ofereçam proteção real para repelir ataques cibernéticos de todos os tipos. Conforme o relatório do Gartner Migre para a autenticação sem senha para aumentar a segurança e otimizar a experiência do usuário destaca:

"As organizações que continuam a depender de senhas - mesmo como parte da autenticação multifatorial (MFA) - são menos seguras do que aquelas que migraram para métodos sem senha."

Na RSA, muitas vezes nos perguntamos por que mais organizações ainda não deram passos largos para adotar a autenticação sem senha. O relatório do Gartner analisa a fundo os fatores que impedem as organizações de avançar, compartilha recomendações práticas para avançar e define uma abordagem em fases para aproveitar todas as oportunidades de migrar para a autenticação sem senha.

Dado o ajuste à cultura e aos sistemas que precisam ser considerados ao passar para o sistema sem senha, pode ser razoável que as organizações pareçam hesitantes. Mas, dado o risco comprovado de roubo de credenciais, faz sentido agir o quanto antes. Quanto mais senhas os usuários tiverem em seu ambiente, maior será o risco.

Se os CISOs ou os líderes de gerenciamento de identidade e acesso (IAM) estiverem preocupados em investir em uma nova tecnologia sem senha muito cedo, nesse meio tempo eles enfrentarão o risco muito real de serem vítimas de um ataque baseado em credenciais. Esses riscos de segurança cibernética parecem superar a hesitação da maioria das organizações.

A FIDO Alliance informa que 87% das empresas estão implantando ou planejam implantar chaves de acesso para aumentar a segurança e a experiência do usuário. E não se trata apenas de empresas: os consumidores estão cada vez mais adotando a autenticação sem senha, com mais de 175 milhões de clientes da Amazon usando agora chaves de acesso para fazer login.

Táticas comuns de phishing que contornam a MFA fraca

Mesmo as organizações que usam a MFA tradicional podem ficar vulneráveis se os métodos de autenticação não forem resistentes a phishing:

• Interceptação de credenciais: As OTPs enviadas por SMS, e-mail ou aplicativos autenticadores podem ser capturadas.
• Ataques man-in-the-middle: Os invasores induzem os usuários a fornecer credenciais por meio de portais de login falsos.
• Keyloggers de malware: O software registra as teclas digitadas, inclusive senhas e OTPs.
• Kits de phishing: As estruturas de ataque automatizadas têm como alvo os métodos de MFA que não estão criptograficamente vinculados ao dispositivo ou à origem.

O relatório da Gartner observa que as organizações podem implementar com sucesso o sistema sem senha em incrementos gerenciáveis: "Os líderes de IAM devem seguir uma abordagem em fases".

O relatório propõe quatro medidas específicas que as organizações devem adotar:

1. Identifique os casos de uso, começando com um inventário de onde as senhas são usadas.
2. Chegue a um acordo sobre os estados de destino com base nas metas de segurança e UX.
3. Identificar preferências entre diferentes métodos e fluxos.
4. Criar um roteiro para casos de uso da força de trabalho e do cliente.

Em Conferência RSAC 2025, Em meu artigo sobre a autenticação sem senha, expliquei que a ausência de senha é uma jornada que exige tanto a auditoria dos métodos de autenticação atuais e a implementação da MFA quanto o planejamento para o futuro. As organizações podem descobrir que, se já tiverem uma autenticação forte em vigor, talvez já estejam no meio do caminho para chegar ao sistema sem senha.

A MFA resistente a phishing funciona vinculando a autenticação ao dispositivo e à origem do usuário e eliminando segredos compartilhados na rede. Os métodos incluem:

• Passkeys e notificações push baseadas em aplicativos: Os usuários podem aprovar ou negar solicitações de autenticação a partir de um dispositivo móvel sem enviar senhas pela rede.
• Fatores baseados em dispositivos: A verificação de identidade está vinculada a um dispositivo específico, não a credenciais compartilhadas.
• Autenticação baseada em hardware: Os autenticadores RSA iShield Key 2 Series e RSA DS100 são compatíveis com a autenticação sem senha FIDO2.
• Biometria: Impressão digital e reconhecimento facial em dispositivos Android, iOS e Windows.
• Cartões inteligentes/certificados PKI: Comum em setores governamentais e altamente regulamentados.

Por que as empresas precisam de MFA resistente a phishing

• Aumento da sofisticação dos ataques de phishing direcionados a OTPs e à MFA tradicional
• Drivers regulatórios (NIST 800-63B, Ordens Executivas 14028, orientação CISA Zero Trust)
• Risco de roubo de credenciais no mundo real
• Segurança e experiência do usuário aprimoradas em relação à MFA tradicional

O relatório da Gartner afirma que “os líderes de IAM devem implementar métodos sem senha onde eles são prontamente suportados e tomar medidas adicionais para estender a autenticação sem senha a outros casos de uso”.”

Para as organizações que desejam implementar soluções sem senha, a RSA oferece uma ampla variedade de recursos e capacidades específicos sem senha, todos disponíveis na RSA Unified Identity Platform com tecnologia de IA.

• Chaves de acesso: O RSA oferece suporte a chaves de acesso por meio do Aplicativo RSA Authenticator, que permite que os usuários registrem um dispositivo como uma chave de acesso e o utilizem para autenticação sem senha.
• Notificações por push baseadas em aplicativos: A RSA oferece notificações push baseadas em aplicativos que permitem aos usuários aprovar ou negar solicitações de autenticação a partir de seus dispositivos móveis.
• Fatores baseados em dispositivos: RSA verificação de identidade Os recursos incluem a vinculação da identidade a um dispositivo específico, e não a um conjunto de credenciais que podem ser alvo de ataques de phishing e outros.
• Autenticação baseada em hardware: A Série RSA iShield Key 2 de autenticadores e o RSA DS100 authenticator oferecem autenticação sem senha baseada em FIDO2 para casos de uso em que a biometria ou os telefones celulares podem não ser adequados, como quando os profissionais de saúde precisam usar luvas e máscaras de plástico ou em salas limpas que não permitem dispositivos conectados à Internet.
• Biometria: A RSA oferece suporte a impressões digitais e reconhecimento facial em dispositivos Android e iOS. Também oferecemos suporte ao Windows Hello como um método de autenticação biométrica para usuários do Windows.

Além das soluções sem senha e baseadas em dispositivos da RSA, as organizações podem aproveitar tecnologias adicionais de MFA resistentes a phishing para aumentar a segurança:

• Cartões inteligentes / Certificados PKI: Certificados armazenados em dispositivos seguros, geralmente usados no governo e em setores altamente regulamentados para autenticação forte.
• Passkeys para celular e desktop: Credenciais vinculadas a dispositivos que permitem o login contínuo e sem senha em todas as plataformas.
• MFA adaptável: Autenticação com reconhecimento de contexto que combina sinais do dispositivo, geolocalização e comportamento do usuário para impor uma verificação mais forte quando o risco é detectado.
• Tokens de segurança de software: Chaves geradas criptograficamente e armazenadas em aplicativos seguros que atendem aos padrões de resistência a phishing (por exemplo, aplicativos compatíveis com FIDO2).

Essas tecnologias, quando combinadas com uma estratégia de implementação em fases, ajudam as empresas a criar uma estrutura de autenticação em camadas, resistente a phishing, que protege as identidades da força de trabalho e dos clientes.

Benefícios da MFA resistente a phishing

• Bloqueia ataques de phishing e repetição de credenciais
• Atende aos mandatos de conformidade e aos padrões regulatórios
• Melhora a experiência do usuário em comparação com a MFA baseada em OTP
• Reduz o risco de comprometimento da conta nos sistemas da empresa e do cliente

Para organizações que buscam autenticação de hardware de nível empresarial, o Série RSA iShield Key 2 oferece uma solução segura, compatível e fácil de usar. Combinado com o conjunto completo de opções de MFA sem senha e resistentes a phishing da RSA, ele ajuda a proteger sua organização contra ataques modernos de credenciais e, ao mesmo tempo, simplifica o acesso do usuário.

Saiba mais sobre o recursos sem senha disponível como parte de RSA ID Plus, e Inscreva-se para uma avaliação gratuita para ver por si mesmo como a RSA pode ajudar a acelerar sua jornada para a autenticação sem senha.

Gartner, Inc. Migre para a autenticação sem senha para aumentar a segurança e otimizar a experiência do usuário. Ant Allan, James Hoover. Publicado originalmente em 30 de agosto de 2024

GARTNER é uma marca registrada e marca de serviço da Gartner, Inc. e/ou de suas afiliadas nos EUA e internacionalmente e é usada aqui com permissão. Todos os direitos reservados.