O que é Autenticação Passwordless?

O que é Autenticação Passwordless? A autenticação passwordless refere-se a métodos de login e autenticação que não exigem o uso de senhas. Em vez disso, esses métodos utilizam outras formas de verificação de identidade, como:

  1. Biometria: Impressões digitais, reconhecimento facial, reconhecimento de voz ou leitura da íris.
  2. Chaves de Segurança Físicas: Dispositivos como chaves USB ou NFC (Near Field Communication) que geram e validam tokens de autenticação.
  3. Autenticação de Dois Fatores (2FA) sem Senha: Envia um código único para o dispositivo do usuário, seja via SMS, aplicativo autenticador ou e-mail.
  4. Links Mágicos: Envia um link de login para o e-mail do usuário, que ao ser clicado, autentica o usuário automaticamente.

Histórico da Evolução e Necessidade do Desenvolvimento de Autenticação Passwordless

A Era das Senhas

Desde os primórdios da computação, as senhas têm sido o método predominante de autenticação. No entanto, à medida que a internet cresceu e se tornou uma parte essencial da vida cotidiana, as limitações e falhas das senhas começaram a se tornar mais evidentes. Os principais problemas incluem:

  1. Segurança Fraca: Muitas pessoas usam senhas fracas e fáceis de adivinhar, como “123456” ou “password”, o que torna suas contas vulneráveis a ataques.
  2. Reutilização de Senhas: A reutilização da mesma senha em múltiplos sites aumenta o risco de comprometimento de todas as contas se uma delas for hackeada.
  3. Esquecimento de Senhas: Usuários esquecem senhas com frequência, levando à frustração e à necessidade de processos de recuperação de senha, que também podem ser um ponto de falha de segurança.

Aumento das Violações de Dados

Nos últimos anos, o número de violações de dados aumentou drasticamente, com grandes empresas sofrendo ataques que expuseram as credenciais de milhões de usuários. Esses incidentes evidenciaram a necessidade urgente de melhorar os métodos de autenticação:

  • Yahoo (2013-2014): Comprometimento de 3 bilhões de contas.
  • Equifax (2017): Dados de 147 milhões de pessoas expostos.
  • Facebook (2019): 540 milhões de registros de usuários encontrados em servidores públicos.
  • Twitter (2020): Comprometimento de contas de figuras públicas e empresas devido a um ataque de engenharia social, expondo a vulnerabilidade de sistemas de autenticação baseados em senhas.
  • SolarWinds (2020): Um ataque sofisticado que comprometeu a cadeia de suprimentos de software, expondo dados sensíveis de várias agências governamentais e empresas, ressaltando a necessidade de autenticação forte.
  • LinkedIn (2021): Dados de 700 milhões de usuários expostos, incluindo informações pessoais e de trabalho, devido a uma exploração de API.
  • T-Mobile (2021): Roubo de dados pessoais de mais de 40 milhões de clientes, incluindo números de segurança social e informações de carteiras de motorista.
  • Acer (2021): Sofreu um ataque de ransomware com pedido de resgate de 50 milhões de dólares, comprometendo informações financeiras.
  • Log4Shell (2021): Uma vulnerabilidade crítica na biblioteca de registro de Java, Log4j, que afetou milhares de empresas globalmente, destacando a necessidade de segurança robusta e autenticação forte para sistemas críticos.

Evolução para Métodos Mais Seguros

Em resposta às crescentes ameaças e falhas das senhas, a indústria de tecnologia começou a explorar métodos de autenticação mais seguros e eficientes. A autenticação multifatorial (MFA) foi um passo inicial significativo, combinando algo que o usuário sabe (senha) com algo que o usuário possui (telefone ou token) ou algo que o usuário é (biometria).
No entanto, a autenticação passwordless surgiu como uma evolução natural, eliminando totalmente a necessidade de senhas e utilizando fatores de autenticação que são inerentemente mais seguros e convenientes.

Benefícios da Autenticação Passwordless

  1. Segurança Aumentada:

    • Redução do Risco de Phishing: Como não há senha para roubar, os ataques de phishing tornam-se ineficazes.
    • Eliminação do Risco de Senhas Fracas ou Reutilizadas: Usuários frequentemente escolhem senhas fáceis de lembrar, mas inseguras, ou reutilizam senhas em vários sites, o que pode levar a violações em massa. A autenticação passwordless elimina esses riscos.
    • Proteção contra Ataques de Força Bruta: Ataques automatizados que tentam adivinhar senhas tornam-se inúteis sem uma senha para adivinhar.
  2. Conveniência para o Usuário:

    • Simplificação do Processo de Login: Usuários não precisam lembrar e digitar senhas complexas, tornando o processo de login mais rápido e sem fricção.
    • Redução da Necessidade de Reset de Senhas: Esquecer senhas e o processo subsequente de recuperação e redefinição de senha são eliminados.
  3. Redução de Custos para Empresas:

    • Menor Carga sobre Suporte Técnico: Com menos problemas de senha para resolver, o suporte técnico pode focar em outras tarefas.
    • Eficiência Operacional: Processos de autenticação mais rápidos e seguros aumentam a produtividade geral.

Como Funciona a Autenticação Passwordless?

O funcionamento da autenticação passwordless varia de acordo com o método utilizado, mas o princípio básico é substituir a senha por outro fator de autenticação que seja único e verificável. Aqui estão alguns exemplos práticos:

  1. Biometria:

    • O usuário cadastra suas características biométricas (impressão digital, rosto, etc.) em um dispositivo confiável.
    • No momento do login, o usuário apresenta sua característica biométrica, que é comparada com a versão armazenada para autenticação.
  2. Chaves de Segurança:

    • O usuário registra uma chave de segurança com um serviço.
    • No login, o usuário insere a chave de segurança em um dispositivo (computador, celular) e toca um botão na chave para autenticação.
  3. Links Mágicos:

    • O usuário fornece seu e-mail ao serviço.
    • Um link de login é enviado ao e-mail do usuário.
    • Ao clicar no link, o usuário é autenticado automaticamente sem necessidade de senha.
  4. Autenticação de Dois Fatores sem Senha:

    • O usuário fornece um meio de contato (telefone ou e-mail).
    • No login, um código único é enviado ao dispositivo do usuário.
    • O usuário insere o código no sistema para ser autenticado.

Uso de Autenticação Passwordless para Senhas Privilegiadas e Seus Riscos

Senhas privilegiadas são credenciais que concedem acesso a sistemas críticos e informações sensíveis, como contas de administrador de sistemas, servidores de bancos de dados e infraestrutura de rede. A gestão dessas senhas é crucial, pois seu comprometimento pode resultar em grandes danos.

Implementação de Passwordless para Senhas Privilegiadas

  1. Biometria para Acesso Administrativo:

    • Administradores podem usar a autenticação biométrica para acessar sistemas críticos, eliminando a necessidade de senhas estáticas que podem ser facilmente comprometidas.
  2. Chaves de Segurança para Acesso a Servidores:

    • Chaves de segurança físicas, como as da YubiKey, podem ser usadas para autenticação em servidores e sistemas de rede, proporcionando uma camada adicional de segurança.
  3. Links Mágicos para Ferramentas de Gestão de TI:

    • Ferramentas de gestão de TI podem enviar links mágicos para administradores, garantindo que apenas pessoas autorizadas possam acessar sistemas sensíveis.
  4. Autenticação de Dois Fatores sem Senha para Acesso Remoto:

    • Em ambientes de trabalho remoto, códigos únicos enviados para dispositivos confiáveis podem ser utilizados para autenticar administradores sem a necessidade de senhas.

Riscos e Desafios

  1. Dependência de Dispositivos Biométricos e Chaves Físicas:

    • A perda ou roubo de dispositivos biométricos ou chaves de segurança pode ser um ponto de falha significativo. É crucial ter políticas de recuperação robustas.
  2. Vulnerabilidades em Biometria:

    • Embora mais seguras que senhas, características biométricas podem ser falsificadas ou comprometidas. Ataques de spoofing (falsificação biométrica) são uma preocupação real.
  3. Segurança de Dispositivos Móveis:

    • No caso de autenticação de dois fatores, se os dispositivos móveis forem comprometidos, a segurança das credenciais privilegiadas pode ser posta em risco.
  4. Resistência à Mudança:

    • A adoção de métodos passwordless pode encontrar resistência tanto de usuários quanto de administradores, acostumados com sistemas baseados em senhas. Treinamento e conscientização são essenciais.

Desafios e Riscos do Mau Uso/Implementação de Autenticação Passwordless

Embora a autenticação passwordless ofereça muitos benefícios, sua implementação inadequada pode introduzir novos riscos. É crucial que as organizações compreendam e mitiguem esses riscos para garantir a eficácia e a segurança da autenticação passwordless.

  1. Dependência de Dispositivos Biométricos e Chaves Físicas:
    • A perda ou roubo de dispositivos biométricos ou chaves de segurança pode ser um ponto de falha significativo. É crucial ter políticas de recuperação robustas.
  2. Vulnerabilidades em Biometria:
    • Embora mais seguras que senhas, características biométricas podem ser falsificadas ou comprometidas. Ataques de spoofing (falsificação biométrica) são uma preocupação real.
  3. Segurança de Dispositivos Móveis:
    • No caso de autenticação de dois fatores, se os dispositivos móveis forem comprometidos, a segurança das credenciais privilegiadas pode ser posta em risco.
  4. Resistência à Mudança:
    • A adoção de métodos passwordless pode encontrar resistência tanto de usuários quanto de administradores, acostumados com sistemas baseados em senhas. Treinamento e conscientização são essenciais.
  5. Dependência Excessiva de um Único Método:

    • Vulnerabilidade a Ataques Específicos: Confiar apenas em um método, como biometria, pode deixar o sistema vulnerável se houver uma falha ou comprometimento específico dessa tecnologia.
    • Problemas de Acessibilidade: Nem todos os usuários podem usar certos métodos de autenticação (por exemplo, biometria), o que pode levar à exclusão ou dificuldades de acesso.
  6. Implementação Incompleta de Medidas de Recuperação:

    • Políticas de Recuperação Inadequadas: Se um usuário perder acesso a seu método de autenticação passwordless (como um dispositivo biométrico ou uma chave de segurança), deve haver um processo seguro e eficiente para recuperar o acesso. Falhas nessa área podem resultar em bloqueio de usuários ou na criação de brechas de segurança.
  7. Falta de Integração com Sistemas Legados:

    • Incompatibilidade de Sistemas: A integração inadequada de métodos passwordless com sistemas legados pode resultar em pontos fracos na segurança. Certifique-se de que todas as partes do sistema sejam compatíveis e possam trabalhar juntas sem comprometer a segurança.
  8. Adoção Prematura sem Testes Adequados:

    • Ausência de Testes Rigorosos: Implementar soluções passwordless sem testes rigorosos pode levar à exposição de vulnerabilidades. É essencial realizar testes abrangentes para identificar e mitigar possíveis falhas antes da implementação em grande escala.
  9. Desconhecimento e Falta de Treinamento dos Usuários:

    • Falta de Treinamento Adequado: Usuários mal informados ou não treinados podem usar inadequadamente os métodos de autenticação passwordless, resultando em compromissos de segurança. É crucial educar os usuários sobre as melhores práticas e procedimentos de segurança.
  10. Comprometimento do Método de Autenticação Passwordless Escolhido:

    • Ataques a Métodos Biométricos: Características biométricas podem ser falsificadas ou clonadas, comprometendo a segurança do sistema.
    • Interceptação de Códigos de Autenticação: Códigos enviados por SMS ou e-mail podem ser interceptados por atacantes, especialmente se a comunicação não for adequadamente criptografada.
    • Roubo de Celular que Recebe SMS: Se um atacante roubar o celular que recebe o SMS para autenticação, ele pode comprometer o acesso ao sistema. É crucial que os usuários configurem bloqueios seguros em seus dispositivos móveis e que haja um processo de desativação rápida em caso de roubo.
    • Comprometimento ou Hacking do E-mail que Recebe a Chave: Se o e-mail de um usuário for comprometido, o atacante pode acessar links mágicos ou códigos de autenticação, permitindo o acesso não autorizado ao sistema, por isso é muito importante que hajam meios de autenticação forte e proteção do sistema de email utilizado.

Passwordless Elimina Definitivamente as Senhas?

Embora a autenticação passwordless ofereça uma alternativa mais segura e conveniente às senhas tradicionais, ela não elimina completamente o uso de senhas. Em muitos casos, as senhas ainda são necessárias como método de backup ou para acessar certos sistemas que ainda não suportam autenticação passwordless. Alguns dos motivos incluem:

  1. Compatibilidade com Sistemas Legados:

    • Muitos sistemas antigos ainda dependem de senhas para autenticação e podem não ser compatíveis com métodos modernos de autenticação passwordless.
  2. Redundância e Backup:

    • Senhas podem servir como um método de backup em caso de falha ou perda dos dispositivos de autenticação passwordless, como chaves de segurança ou dispositivos biométricos.
  3. Preferência do Usuário e Familiaridade:

    • Alguns usuários ainda preferem ou se sentem mais confortáveis usando senhas, especialmente em ambientes onde eles têm mais controle sobre a criação e gerenciamento das mesmas.
  4. Situações de Emergência:

    • Em situações onde dispositivos biométricos ou chaves de segurança não estão disponíveis, a senha pode servir como um método de acesso emergencial.

Portanto, enquanto a autenticação passwordless representa um passo significativo em direção a métodos de autenticação mais seguros e eficientes, as senhas ainda desempenham um papel importante em muitos contextos e podem continuar a ser usadas como uma camada adicional de segurança.

Exemplos Práticos de Utilização

  1. Serviços de E-mail:

    • O Slack oferece a opção de links mágicos para login, onde os usuários podem solicitar um link enviado para seu e-mail para acessar a plataforma sem precisar de senha.
    • O Outlook da Microsoft também suporta autenticação por link mágico para facilitar o acesso seguro.
  2. Plataformas de Gerenciamento de Senhas:

    • LastPass e 1Password utilizam autenticação biométrica (impressão digital ou reconhecimento facial) em dispositivos móveis para acesso rápido e seguro aos cofres de senhas.
  3. Acesso Corporativo:

    • Empresas como Google e Facebook adotaram chaves de segurança físicas, como as da YubiKey, para autenticação de seus funcionários, protegendo contas sensíveis contra ataques.
  4. Aplicativos Móveis:

    • Muitos bancos, como o Bank of America e o Chase, permitem que seus clientes façam login em seus aplicativos móveis usando biometria, como Face ID ou Touch ID.
    • Aplicativos de serviços de transporte, como o Uber, também utilizam autenticação biométrica para garantir a segurança dos motoristas e passageiros.
  5. Redes Sociais:

    • O Twitter permite que os usuários habilitem a autenticação de dois fatores com a opção de usar aplicativos autenticadores, eliminando a necessidade de senhas para uma camada adicional de segurança.
  6. E-commerce:

    • Amazon oferece autenticação baseada em biometria através do aplicativo Amazon Go, permitindo que os clientes entrem na loja, façam suas compras e saiam sem precisar passar pelo caixa tradicional, utilizando apenas o reconhecimento facial.

Conclusão

A autenticação passwordless representa uma evolução significativa na forma como pensamos sobre segurança e conveniência na autenticação de usuários. Ao eliminar a necessidade de senhas, esses métodos reduzem riscos de segurança associados a práticas de senha inadequadas, como o uso de senhas fracas ou reutilizadas, e melhoram a experiência do usuário, tornando o processo de login mais rápido e simples. À medida que mais empresas e serviços adotam soluções passwordless, podemos esperar um ambiente digital mais seguro e fácil de usar.
A adoção crescente de métodos de autenticação sem senha em diversos setores demonstra como essa tecnologia pode transformar a forma como interagimos com serviços online e dispositivos, proporcionando uma experiência mais segura e conveniente para todos. No entanto, é essencial que a implementação dessas tecnologias seja feita de maneira cuidadosa e informada. As organizações devem garantir que as medidas de backup e recuperação sejam robustas, que os usuários sejam adequadamente treinados, que meios de proteção sejam adotados para o caso de comprometimento do método de autenticação utilizado e que as integrações com sistemas legados sejam feitas de forma segura.
Apesar dos avanços significativos proporcionados pela autenticação passwordless, as senhas ainda desempenham um papel importante em muitos contextos, servindo como uma camada adicional de segurança e um método de backup em situações específicas. Portanto, enquanto nos movemos em direção a um futuro sem senhas, é crucial reconhecer que uma abordagem equilibrada, que combina métodos passwordless com práticas de segurança tradicionais, pode oferecer a proteção mais robusta contra ameaças cibernéticas.
Por: Kleber Melo - CEO da Mindsec

Veja também:

 

Sobre mindsecblog 2549 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Comentário

  1. Bom dia, acho que deveria ter um canal no whatsapp, para que a gente pudesse ler e compartilhar as informações, que na verdade são excelentes.

    • Obrigado pela sugestão, vamos analisar.. o que fazemos atualmente é são as newsletter diárias (enviada 13h) e as semanais que são envidas todas as sextas pela manhã. Você pode se inscrever ambas diretamente na homepage do blog. No mais você também pode compartilhar o link da notícia em seus grupos. Agradecemos o feedback e atenção, isso nos incentiva ainda mais a criar nossos conteúdos! Abraço

2 Trackbacks / Pingbacks

  1. A ameaça dos dados pessoais no setor público
  2. O que é SAST e DAST?

Deixe sua opinião!