Têm limitações: 41% dos ataques estão relacionados com credenciais comprometidas. WebAuthn e chaves de acesso são caminhos.
A maioria de nós utiliza palavras-passe todos os dias. Para trabalhar, para ver a conta bancária, para entrar nas redes sociais… E por aí fora.
Mas esse método de autenticação deveria acabar. A ideia é defendida (também) pela Sophos, empresa de soluções de segurança.
Em comunicado enviado ao ZAP, a empresa reforça que as palavras-passe têm limitações, tal como têm todos os métodos de autenticação baseados em conhecimento.
Hoje em dia, os métodos de autenticação tradicionais são ultrapassados facilmente pelas sofisticadas técnicas, táticas e procedimentos (TTPs) dos ciberatacantes.
Aliás, quase metade (41%) dos ataques têm como origem credenciais comprometidas – que são a principal causa de ataque.
As soluções de autenticação dupla ou multifator (2FA/MFA) também costumam depender de códigos secretos baseados em conhecimento – partilhados através de SMS ou de aplicações de autenticação. Ou seja, também são métodos vulneráveis.
Alternativa?
A Sophos reforça que uma autenticação multifator mais forte passa pelo protocolo WebAuthn – que utiliza chaves de acesso ou passkeys em particular.
Este protocolo exige que, quando uma conta é criada, é gerado um par único de chaves criptográficas públicas/privadas. Estas são armazenadas localmente: no servidor do website, para a chave pública; e no terminal do utilizador, para a chave privada, juntamente com o nome do website e a identificação do utilizador.
Assim, quando inicia sessão, o utilizador já não precisa de introduzir uma palavra-passe ou um código secreto partilhado por SMS ou por uma aplicação de autenticação; recebe um pedido de autenticação digital que só pode ser resolvido se o utilizador estiver na posse física de um dispositivo e puder provar que é o proprietário da chave privada – através de verificação biométrica, por exemplo.
No fundo, é na mesma um método de autenticação baseado em dois fatores, mas não dependem do conhecimento do utilizador – mas sim da posse física de um dispositivo e das características biométricas do próprio utilizador.
Em princípio, estas credenciais não podem ser roubados através de métodos convencionais de phishing.
“Temos de afastar-nos da dependência de palavras-passe e segredos partilhados. As chaves de acesso ou passkeys representam atualmente a solução mais robusta para construir um futuro sem palavras-passe, sem phishing e, esperamos, sem comprometimentos em grande escala,” comentou Chester Wisniewski, diretor da Sophos.
O Dia Mundial da Palavra-Passe assinala-se nesta quinta-feira, dia 1 de Maio.
