Ao celebrarmos o Mês de Conscientização sobre Segurança Cibernética de 2024 com o tema “Proteja Nosso Mundo”, explorar tecnologias inovadoras é crucial para nos ajudar a atingir essa meta. Um desses avanços que está revolucionando a segurança online e a autenticação do usuário são as passkeys. Essas chaves de acesso representam um salto significativo na criação de um cenário digital mais seguro, alinhando-se perfeitamente com a missão de proteger nosso mundo. Ao alavancar técnicas criptográficas e autenticação biométrica, as chaves de acesso oferecem uma alternativa mais robusta e amigável às senhas tradicionais, abordando muitas vulnerabilidades que há muito tempo atormentam nossas contas online.
Neste blog, vamos nos aprofundar em como as passkeys funcionam, seus benefícios e por que elas são uma ferramenta essencial em nosso esforço coletivo para construir um futuro digital mais seguro para todos.
Phishing, uma epidemia crescente
O phishing é eficaz porque capitaliza a psicologia humana, explorando viés e comportamentos naturais em vez de mirar em fraquezas tecnológicas. Também é popular porque uma tentativa bem sucedida de phishing pode dar aos criminosos uma posição nas redes empresariais, levando a violações de dados e perdas financeiras.
Apesar dos esforços contínuos para aumentar a conscientização, esses ataques exploram com sucesso nossos vieses e preconceitos para contornar os sistemas de segurança tradicionais baseados em senhas. Eles convencem as pessoas a fornecer informações confidenciais, como senhas ou logins, disfarçando-se de entidades confiáveis, tornando as senhas o elo mais fraco na cadeia de segurança cibernética. Vejamos algumas estatísticas:
• No primeiro trimestre de 2024, mais de 963 mil sites exclusivos de phishing foram detectados globalmente.
• Em 2023, o IC3 recebeu um número recorde de reclamações de pessoas nos EUA, totalizando 880.418 reclamações com perdas potenciais superiores a US$ 12,5 bilhões.
• O Relatório Global de Ameaças a Dados da Thales de 2024 revelou que o erro humano continua sendo a principal causa de violações de dados, com 31% das empresas identificando isso como a causa raiz.
Não é nenhuma surpresa que o Mês de Conscientização sobre Segurança Cibernética deste ano incentive a todos nós cidadãos a ficarem vigilantes sobre phishing. A educação tem um papel a desempenhar aqui, mas adotar mecanismos de autenticação mais fortes e resistentes a phishing, como as passkeys, pode ser ainda mais eficaz na prevenção desse flagelo.
Como funcionam as passkeys?
As passkeys foram projetadas para eliminar as fraquezas inerentes às senhas. Elas fornecem logins mais rápidos, fáceis e seguros para sites e aplicativos e são resistentes a phishing.
Elas são baseadas no padrão Fast Identity Online (FIDO), com um par de chaves criptográficas (chaves pública e privada) que autentica usuários sem colocar dados confidenciais (como senhas) em risco de esquemas de phishing. Na verdade, elas eliminam completamente a necessidade de senhas.
Ao contrário das senhas, que podem ser facilmente roubadas ou vítimas de phishing, as passkeys nunca saem do dispositivo do usuário e não podem ser interceptadas por malfeitores. Elas são um salto gigante em direção à autenticação sem senha, aumentando a segurança em entidades do setor público e privado.
As passkeys também aprimoram a autenticação multifator (MFA). A MFA precisa que os usuários forneçam dois ou mais formulários de verificação; as passkeys simplificam o processo integrando dados biométricos ou um PIN com autenticação criptográfica.
Tipos de Passkeys: sincronizadas e vinculadas ao dispositivo
Existem dois tipos de Pass Keys: sincronizadas e passkeys vinculadas ao dispositivo. Embora ambas ofereçam resistência a phishing, elas funcionam de forma diferente em termos de segurança e experiência do usuário.
- Passkeys sincronizadas: elas são armazenadas na nuvem e podem ser sincronizadas em vários dispositivos. Gigantes da tecnologia como Apple, Google e Microsoft usam passkeys sincronizadas para melhorar a experiência do usuário. Elas podem ser facilmente transferidas entre dispositivos para que os usuários possam fazer login com um PIN ou uma biometria (impressão digital ou reconhecimento facial). Elas são convenientes para uso pessoal, permitindo que os usuários acessem contas de diferentes dispositivos sem atrito.
- Passkeys vinculadas ao dispositivo: elas são vinculadas a um dispositivo específico e nunca o deixam. Isso as torna mais seguras do que chaves de acesso sincronizadas, pois a chave privada permanece protegida contra ameaças externas, como ataques na nuvem. Às vezes, elas vêm na forma de chaves de segurança de hardware, como tokens USB ou cartões inteligentes, que exigem a posse física do dispositivo para autenticação. As passkeys vinculadas ao dispositivo são particularmente úteis para empresas com altos requisitos de segurança, pois fornecem uma camada extra de proteção contra ataques de phishing e man-in-the-middle.
Qual é a Passkey certa para o seu negócio?
A Passkey sincronizadas é conveniente para contas pessoais e uso diário, e a Passkey vinculada ao dispositivo é a opção mais adequada para empresas que priorizam a segurança. As empresas que lidam com dados confidenciais ou aquelas sujeitas a requisitos de conformidade rigorosos devem optar por passkeys vinculadas ao dispositivo para evitar phishing, ataques man-in-the-middle e outros tipos de roubo de identidade.
Quando a conveniência é a prioridade, as passkeys sincronizadas são ideais para aplicativos ou serviços internos que não lidam com informações críticas.
A pressão por uma autenticação mais forte
À medida que os ataques de phishing se tornam mais sofisticados, governos e reguladores defendem medidas de segurança mais robustas. Na União Europeia, o Regulamento Geral de Proteção de Dados (GDPR) e no Brasil a Lei Geral de Proteção de Dados (LGPD) exigem que as empresas implementem medidas de segurança, que MFA e passkeys abordam de forma abrangente.
Da mesma forma, a Ordem Executiva 14028 direcionou o uso de MFA resistente a phishing nos Estados Unidos, solicitando explicitamente soluções baseadas em FIDO. Esse impulso regulatório fez a demanda por passkeys disparar, principalmente em setores altamente regulamentados que lidam com dados confidenciais, como finanças, saúde e setor público.
Protegendo Nosso Mundo
Na luta para “Proteger Nosso Mundo”, as passkeys oferecem uma solução poderosa para uma das ameaças mais difundidas à segurança cibernética: phishing. Ao substituir senhas vulneráveis por autenticação resistente a phishing, as passkeys são o futuro da segurança digital.
Como o Mês de Conscientização sobre Segurança Cibernética nos lembra, reconhecer e relatar phishing é essencial para proteger nosso mundo digital. Ao adotar métodos de autenticação mais fortes, como passkeys, podemos dar um passo adiante na proteção da navegação online e das informações confidenciais.
Sérgio Muniz é vice-presidente de Vendas para Gestão de Identidade e Acesso de Thales para América Latina