Sérgio
Muniz, vice-presidente de Vendas para Gestão de Identidade e Acesso de Thales
para América Latina
Ao
celebrarmos o Mês de Conscientização sobre Segurança Cibernética de 2024 com o
tema "Proteja Nosso Mundo", explorar tecnologias inovadoras é crucial
para nos ajudar a atingir essa meta. Um desses avanços que está revolucionando
a segurança online e a autenticação do usuário são as passkeys. Essas chaves de
acesso representam um salto significativo na criação de um cenário digital mais
seguro, alinhando-se perfeitamente com a missão de proteger nosso mundo. Ao
alavancar técnicas criptográficas e autenticação biométrica, as chaves de
acesso oferecem uma alternativa mais robusta e amigável às senhas tradicionais,
abordando muitas vulnerabilidades que há muito tempo atormentam nossas contas
online.
Neste blog,
vamos nos aprofundar em como as passkeys funcionam, seus benefícios e por que
elas são uma ferramenta essencial em nosso esforço coletivo para construir um
futuro digital mais seguro para todos.
Phishing,
uma epidemia crescente
O phishing
é eficaz porque capitaliza a psicologia humana, explorando viés e
comportamentos naturais em vez de mirar em fraquezas tecnológicas. Também é
popular porque uma tentativa bem sucedida de phishing pode dar aos criminosos
uma posição nas redes empresariais, levando a violações de dados e perdas
financeiras.
Apesar dos
esforços contínuos para aumentar a conscientização, esses ataques exploram com
sucesso nossos vieses e preconceitos para contornar os sistemas de segurança
tradicionais baseados em senhas. Eles convencem as pessoas a fornecer
informações confidenciais, como senhas ou logins, disfarçando-se de entidades
confiáveis, tornando as senhas o elo mais fraco na cadeia de segurança
cibernética. Vejamos algumas estatísticas:
• No
primeiro trimestre de 2024, mais de 963 mil sites exclusivos de phishing foram
detectados globalmente.
• Em 2023,
o IC3 recebeu um número recorde de reclamações de pessoas nos EUA, totalizando
880.418 reclamações com perdas potenciais superiores a US$ 12,5 bilhões.
• O
Relatório Global de Ameaças a Dados da Thales de 2024 revelou que o erro humano
continua sendo a principal causa de violações de dados, com 31% das empresas
identificando isso como a causa raiz.
Não é
nenhuma surpresa que o Mês de Conscientização sobre Segurança Cibernética deste
ano incentive a todos nós cidadãos a ficarem vigilantes sobre phishing. A
educação tem um papel a desempenhar aqui, mas adotar mecanismos de autenticação
mais fortes e resistentes a phishing, como as passkeys, pode ser ainda mais
eficaz na prevenção desse flagelo.
Como
funcionam as passkeys?
As passkeys
foram projetadas para eliminar as fraquezas inerentes às senhas. Elas fornecem
logins mais rápidos, fáceis e seguros para sites e aplicativos e são
resistentes a phishing.
Elas são
baseadas no padrão Fast Identity Online (FIDO), com um par de chaves
criptográficas (chaves pública e privada) que autêntica usuários sem colocar
dados confidenciais (como senhas) em risco de esquemas de phishing. Na verdade,
elas eliminam completamente a necessidade de senhas.
Ao
contrário das senhas, que podem ser facilmente roubadas ou vítimas de phishing,
as passkeys nunca saem do dispositivo do usuário e não podem ser interceptadas
por malfeitores. Elas são um salto gigante em direção à autenticação sem senha,
aumentando a segurança em entidades do setor público e privado.
As passkeys
também aprimoram a autenticação multifator (MFA). A MFA precisa que os usuários
forneçam dois ou mais formulários de verificação; as passkeys simplificam o
processo integrando dados biométricos ou um PIN com autenticação criptográfica.
Tipos de
Passkeys: sincronizadas e vinculadas ao dispositivo
Existem
dois tipos de Pass Keys: sincronizadas e passkeys vinculadas ao dispositivo.
Embora ambas ofereçam resistência a phishing, elas funcionam de forma diferente
em termos de segurança e experiência do usuário.
Passkeys
sincronizadas: elas são armazenadas na nuvem e podem ser sincronizadas em
vários dispositivos. Gigantes da tecnologia como Apple, Google e Microsoft usam
passkeys sincronizadas para melhorar a experiência do usuário. Elas podem ser
facilmente transferidas entre dispositivos para que os usuários possam fazer
login com um PIN ou uma biometria (impressão digital ou reconhecimento facial).
Elas são convenientes para uso pessoal, permitindo que os usuários acessem
contas de diferentes dispositivos sem atrito.
Passkeys
vinculadas ao dispositivo: elas são vinculadas a um dispositivo específico e
nunca o deixam. Isso as torna mais seguras do que chaves de acesso
sincronizadas, pois a chave privada permanece protegida contra ameaças
externas, como ataques na nuvem. Às vezes, elas vêm na forma de chaves de
segurança de hardware, como tokens USB ou cartões inteligentes, que exigem a
posse física do dispositivo para autenticação. As passkeys vinculadas ao
dispositivo são particularmente úteis para empresas com altos requisitos de
segurança, pois fornecem uma camada extra de proteção contra-ataques de
phishing e man-in-the-middle.
Qual é a
Passkey certa para o seu negócio?
A Passkey
sincronizadas é conveniente para contas pessoais e uso diário, e a Passkey
vinculada ao dispositivo é a opção mais adequada para empresas que priorizam a
segurança. As empresas que lidam com dados confidenciais ou aquelas sujeitas a
requisitos de conformidade rigorosos devem optar por passkeys vinculadas ao
dispositivo para evitar phishing, ataques man-in-the-middle e outros tipos de
roubo de identidade.
Quando a
conveniência é a prioridade, as passkeys sincronizadas são ideais para
aplicativos ou serviços internos que não lidam com informações críticas.
A
pressão por uma autenticação mais forte
À medida
que os ataques de phishing se tornam mais sofisticados, governos e reguladores
defendem medidas de segurança mais robustas. Na União Europeia, o Regulamento
Geral de Proteção de Dados (GDPR) e no Brasil a Lei Geral de Proteção de Dados
(LGPD) exigem que as empresas implementem medidas de segurança, que MFA e
passkeys abordam de forma abrangente.
Da mesma
forma, a Ordem Executiva 14028 direcionou o uso de MFA resistente a phishing
nos Estados Unidos, solicitando explicitamente soluções baseadas em FIDO. Esse
impulso regulatório fez a demanda por passkeys disparar, principalmente em
setores altamente regulamentados que lidam com dados confidenciais, como
finanças, saúde e setor público.
Protegendo
Nosso Mundo
Na luta
para "Proteger Nosso Mundo", as passkeys oferecem uma solução
poderosa para uma das ameaças mais difundidas à segurança cibernética:
phishing. Ao substituir senhas vulneráveis por autenticação resistente a phishing, as passkeys são o futuro da segurança digital.
Como o Mês
de Conscientização sobre Segurança Cibernética nos lembra, reconhecer e relatar
phishing é essencial para proteger nosso mundo digital. Ao adotar métodos de
autenticação mais fortes, como passkeys, podemos dar um passo adiante na
proteção da navegação online e das informações confidenciais.
Sobre a
Thales
A Thales
(Euronext Paris: HO) é líder global em tecnologias avançadas especializadas em
três domínios de negócios: Defesa e Segurança, Aeronáutica e Espaço e Segurança
Cibernética e Identidade Digital. Ela desenvolve produtos e soluções que ajudam
a tornar o mundo mais seguro, mais verde e mais inclusivo. O Grupo investe
perto de € 4 bilhões por ano em Pesquisa e Desenvolvimento, particularmente em
áreas-chave de inovação, como IA, segurança cibernética, tecnologias quânticas,
tecnologias de nuvem e 6G. A Thales tem perto de 81.000 funcionários em 68
países. Em 2023, o Grupo gerou vendas de € 18,4 bilhões.
