As big techs estão, de maneira silenciosa, conduzindo seus clientes para a adoção de passkeys, métodos de autenticação sem senha que utiliza chaves criptográficas aliadas a dados biométricos como impressão digital e reconhecimento facial e de voz, sem, no entanto, fornecer uma avaliação clara sobre o sucesso dessa mudança e os possíveis desafios associados a esse novo recurso. Neste artigo, vamos explorar esse tema de forma informativa, com a expectativa de que seja útil na promoção de um ambiente digital mais seguro.

No contexto digital em constante evolução, as senhas representam uma vulnerabilidade constante tanto em ambientes corporativos quanto no âmbito pessoal. Na verdade, a vulnerabilidade no nível pessoal pode ser ainda mais alarmante dado o aumento de golpes e fraudes direcionados a indivíduos que, muitas vezes, desconhecem as práticas de segurança. Um exemplo são os ataques de phishing, em que e-mails que parecem legítimos são, na verdade, armadilhas para roubo de informações pessoais e senhas. Outros riscos incluem a troca de chips SIM (SIM swap), ataques de força bruta, entre muitos outros. Ao mesmo tempo, o reuso de senhas fracas e fáceis de adivinhar, também expõe as empresas a riscos significativos.

As passkeys surgem como uma alternativa ao uso tradicional de senhas, sendo um método de autenticação “passwordless” (sem senha) que visa elevar o nível de segurança dos usuários. Assim, vamos explorar o conceito de passkey e sugerir estratégias para sua incorporação eficaz no ambiente corporativo.

O que são os Passkeys?

Baseado no padrão FIDO (Fast Identity Online), passkeys buscam substituir as senhas por uma forma de autenticação mais segura e amigável. É importante ressaltar que a autenticação é o processo de identificação do usuário como uma identidade digital. As passkeys utilizam recursos de biometria, como impressões digitais ou reconhecimento facial, combinados com um robusto mecanismo de chaves públicas (criptografia) para verificar a identidade do usuário. Ao contrário das senhas, as passkeys são naturalmente resistentes a ataques de phishing, pois nenhuma informação é transmitida pela internet.

Vantagens das passkeys:

1. Segurança aprimorada: eliminam as vulnerabilidades associadas ao uso de senhas. O emprego da biometria nativa dos dispositivos junto à criptografia de chaves públicas torna essa abordagem resistente a diversos tipos de ataques.
2. Melhoria na experiência do usuário: simplificam o processo de autenticação, eliminando a necessidade de memorizar senhas complexas que atendam às políticas de segurança das organizações. Além disso, a sincronização das passkeys em vários dispositivos (smartphones, tablets, laptops) facilita a adoção desse recurso.
3. Gestão simplificada: são mais fáceis de gerenciar do que senhas. A funcionalidade de sincronização elimina a necessidade de uma senha para cada dispositivo, tornando o gerenciamento mais eficiente.

Como acontece com qualquer tecnologia, é importante considerar alguns pontos ao implementar passkeys em seu ambiente corporativo. Por exemplo, essa tecnologia ainda não é universalmente suportada em todos os sistemas e aplicações, com equipamentos e sistemas legados potencialmente não-compatíveis. Portanto, sua organização pode precisar passar por um processo de atualização de infraestrutura e tecnologia e é fundamental reconhecer que esse processo pode envolver custos significativos, os quais devem ser cuidadosamente avaliados. Outros desafios com passkeys são: 

• Dependência de um ecossistema: As passkeys são dependentes dos sistemas operacionais e plataformas, como iOS, Android, Windows e Linux. Se uma vulnerabilidade for identificada nesses sistemas, a segurança das passkeys poderá ser impactada.
• Gestão de equipamentos: Em ambientes corporativos, é fundamental implementar uma política robusta de gestão de equipamentos para garantir um nível mínimo de segurança. Isso implica na gestão do ciclo de vida das passkeys e levanta preocupações quanto ao uso de dispositivos pessoais.
• Necessidade de instrução para usuários: A educação dos funcionários é essencial para conscientizá-los sobre o que são passkeys, além de ser vital para uma adoção bem-sucedida dessa tecnologia. Instruções claras e treinamento adequado podem facilitar a transição e maximizar a eficácia das passkeys no ambiente corporativo.

Até agora, está evidente que as passkeys podem, de fato, aumentar a segurança no uso de sistemas e aplicações pelos usuários. A seguir, alguns pontos importantes a serem considerados na elaboração de uma estratégia de passkeys em sua organização:

• Avaliação e alinhamento: Realize uma avaliação da sua infraestrutura de autenticação digital, identificando potenciais lacunas que possam dificultar a adoção das passkeys. Verifique se seu provedor de autenticação oferece suporte a essa tecnologia e considere desenvolver um plano de ciclo de vida para as passkeys e seus controles associados.
• Construa um programa piloto: Embora possa parecer um clichê, implementar um programa piloto é uma das melhores maneiras de identificar incompatibilidades e problemas de configuração, além de fornecer insights sobre a comunicação com os usuários.
• Gestão de equipamentos: Implemente e reforce a política de segurança relacionada ao uso de equipamentos, com especial atenção ao uso de dispositivos pessoais para acessar recursos corporativos.
• Colaboração com o provedor de tecnologia: Estabeleça um processo de colaboração com seu provedor de gestão de acesso e proteção de identidades para garantir uma integração sem surpresas e um nível de suporte adequado.

As passkeys têm o potencial de se tornar um dos recursos mais utilizados para proteger nossos usuários. Oferecer uma boa experiência durante sua implementação é crucial para o sucesso desse processo. Compreendendo os benefícios e desafios associados a essa tecnologia, você poderá construir uma estratégia que melhor se adapte ao contexto de sua organização.

Cláudio Neiva, CTO de segurança para a América Latina.