Com o crescimento de ataques sofisticados contra softwares e sistemas de infraestrutura críticos, a autenticação multifator (MFA) emergiu como uma camada crítica de defesa contra acesso não autorizado. Um número crescente de aplicativos e plataformas de tecnologia voltados para empresas e desenvolvedores, do GitHub ao Salesforce e Amazon Web Services, estão tornando a MFA obrigatória para os usuários.
Dito isto, estamos todos acostumados com senhas e muitas pessoas gostam do status quo. Não é de surpreender que a introdução do MFA tenha acrescentado atrito ao processo de login. Isso pode impactar negativamente a experiência do usuário.
Uma tecnologia mais recente que pode proporcionar benefícios de segurança ainda maiores do que a MFA está agora a ser implementada de forma mais ampla. Essa tecnologia é chamada de chaves de acesso. Com base em padrões amplamente aceitos do setor, as chaves de acesso oferecem a promessa tentadora de eliminar a necessidade de senhas e os riscos que as senhas criam sem adicionar atritos à experiência do usuário, como o MFA.
Em outras palavras, com as chaves de acesso, você pode ter grande segurança e ótima experiência do usuário, uma combinação que até agora parecia quase impossível de alcançar.
Como as chaves de acesso eliminam senhas
As origens das chaves de acesso remontam ao desenvolvimento da Web Authentication (WebAuthn), um padrão da web criado pelo World Wide Web Consortium (W3C) e pela FIDO Alliance. WebAuthn é um componente central do projeto FIDO2, que foi lançado para criar um padrão de autenticação aberto mais seguro e conveniente. Esses padrões estabeleceram as bases para o desenvolvimento de chaves de acesso, definindo uma estrutura para criptografia de chave pública como base para autenticação.
Embora tenha levado anos para que todos os principais participantes da indústria concordassem com detalhes precisos das chaves de acesso, hoje a Apple, o Google, a Microsoft e a maioria das outras grandes empresas de tecnologia oferecem suporte a chaves de acesso ou têm planos de fazê-lo no próximo ano. Todos os principais navegadores oferecem suporte a chaves de acesso e um número crescente de aplicativos corporativos e de consumo também oferece suporte a chaves de acesso.
As chaves de acesso usam criptografia de chave pública. As senhas tradicionais dependem de uma sequência secreta de caracteres conhecidos tanto pelo usuário quanto pelo servidor. Nos contratos, as chaves de acesso usam um par de chaves criptográficas: uma chave privada e uma chave pública. A chave privada é armazenada com segurança no dispositivo do usuário ou no navegador e nunca é compartilhada. A chave pública é armazenada no servidor de um serviço ou sistema (por exemplo, o módulo de autenticação de um aplicativo SaaS).
Quando um usuário tenta fazer login, o servidor envia um desafio ao dispositivo ou navegador. O dispositivo ou navegador do usuário assina o desafio com uma chave privada e o envia de volta ao servidor, que verifica o desafio em relação à chave pública. Uma chave de acesso pode exigir um desafio biométrico ou pode simplesmente funcionar em um dispositivo ou navegador sem exigir qualquer ação do usuário. Quando as chaves de acesso são bem implementadas, tanto as senhas quanto o MFA podem ser eliminados e os logins tornam-se completamente simples.
Vantagens de chaves de acesso versus senhas
Obviamente, ninguém precisa mais lembrar, gerenciar e alternar senhas, o que por si só é um enorme benefício. Mas as chaves de acesso têm outros benefícios críticos:
- As chaves de acesso são mais difíceis de roubar. Como a chave privada nunca sai do dispositivo do usuário, é significativamente mais difícil para os hackers roubarem credenciais em comparação com as senhas tradicionais.
- As chaves de acesso giram automaticamente. Por ser um algoritmo criptográfico, uma chave de acesso gera uma resposta diferente para cada tentativa de login. Isso evita ataques de repetição e simplifica a segurança de confiança zero, tornando a reautenticação e a autenticação contínua contínuas e invisíveis.
- As chaves de acesso evitam phishing e comprometimento de e-mails comerciais. As respostas de senha geradas dinamicamente também evitam ataques de phishing e comprometimento de e-mail comercial (BEC), que dependem de senhas estáticas correspondentes a contas ou nomes de usuário para obter acesso.
- As chaves de acesso eliminam violações de senha. Como não há senhas armazenadas no servidor, o risco de violações de senhas em massa é praticamente eliminado. Isso reduz amplamente o risco de crimes cibernéticos relacionados a senhas e também reduz a carga operacional sobre equipes de segurança de TI já sobrecarregadas.
- As chaves de acesso integram-se facilmente aos fortes mecanismos de segurança existentes. Há muito tempo, as organizações preocupadas com a segurança adotaram práticas de segurança rigorosas, como códigos de autenticação dinâmica gerados em aplicativos de autenticação ou tokens de hardware. As chaves de acesso integram-se bem a esses sistemas e podem ser usadas em conjunto com aplicativos autenticadores e chaves de hardware, que podem hospedar chaves de acesso.
As chaves de acesso ainda enfrentam vários desafios
Apesar das inúmeras vantagens, as chaves de acesso enfrentam vários desafios. Para começar, os usuários se sentem confortáveis com as senhas como algo que podem ver e alterar facilmente. Para muitos, a capacidade de memorizar e reutilizar senhas é um recurso, não um bug. Em nossa experiência, as equipes de TI corporativas frequentemente pedem para desativar as chaves de acesso e voltar ao MFA padrão depois de enfrentar resistências dos usuários. A educação e o conforto do utilizador continuam a ser questões fundamentais.
Mas as empresas têm o poder de impor comportamentos. Para os consumidores, adotar as chaves de acesso pode ser um trabalho árduo. Até mesmo colocar as chaves de acesso em funcionamento em dispositivos Android e iPhone e em diferentes navegadores continua complicado. Somando-se às complicações está o potencial de confusão de chaves de acesso com usuários de carteiras de senha armazenando algumas chaves de acesso em suas carteiras e outras em chaveiros no dispositivo.
Os usuários também estão atentos às complicações resultantes dos mecanismos de redefinição de senha, caso percam o controle do dispositivo. E ainda outros usuários não gostam do uso da biometria, que pode adicionar uma camada extra de segurança às chaves de acesso e também uma maneira conveniente de autenticar usuários para redefinições de chaves de acesso.
As chaves de acesso são o futuro
Embora esses desafios sejam reais, observamos uma forte demanda por chaves de acesso, à medida que as organizações de TI buscam oferecer uma melhor experiência ao usuário sem comprometer a segurança. Quando as chaves de acesso funcionam corretamente, os usuários param de pensar no login como uma barreira, e uma das maiores perdas de tempo para as equipes de TI corporativas desaparece, liberando equipes com poucos funcionários para se concentrarem em questões mais complicadas. Os usuários também economizam tempo e aborrecimentos na redefinição de senhas e no confuso e penoso gerenciamento e rotação de senhas (que são companheiros essenciais da MFA no antigo regime).
Conclusão: à medida que as organizações navegam no equilíbrio entre segurança robusta e uma experiência de usuário positiva, as chaves de acesso estão emergindo como uma solução poderosa. Ao adotar chaves de acesso, as organizações podem fortalecer sua postura de segurança e, ao mesmo tempo, aprimorar a experiência de login de seus usuários.
Aviad Mizrachi é CTO e cofundador da Frontegg.
–
O New Tech Forum oferece um local para líderes de tecnologia – incluindo fornecedores e outros colaboradores externos – explorarem e discutirem tecnologias empresariais emergentes com profundidade e amplitude sem precedentes. A seleção é subjetiva, baseada na escolha das tecnologias que acreditamos serem importantes e de maior interesse para os leitores do InfoWorld. A InfoWorld não aceita material de marketing para publicação e reserva-se o direito de editar todo o conteúdo contribuído. Envie todos consultas para [email protected].