Senhas: uma dor de cabeça para usuários e para as empresas
As senhas perduram, apesar do crescente consenso de que seu uso precisa ser reduzido, se não substituído. Os consumidores não gostam da experiência do usuário e os provedores de serviços on-line não querem o custo e a complexidade de desenvolver e fornecer suas próprias soluções dedicadas.
Por Regina Tupinambá
E a realidade é que as senhas são uma constante dor de cabeça e, o que é pior, são inseguras.
A Microsoft relata que hackers lançam uma média de 50 milhões de ataques de senha por dia, o que equivale a 579 por segundo. Uma pesquisa da Verizon, por outro lado, indica que credenciais comprometidas foram responsáveis por mais de 80% dos incidentes de segurança em 2023.
A ascensão da autenticação sem senha surge como um passo crucial no combate a essa realidade, fortalecendo a confiança com segurança robusta.
E com o advento dos padrões de autenticação FIDO (Fast Identity Online), essa mudança nunca foi tão simples.
Na última década, desde a formação da Aliança FIDO – uma associação industrial aberta com a missão de reduzir a dependência global excessiva de senhas – esses padrões impulsionaram as soluções de autenticação sem senha mais amplamente disponíveis para consumidores e empresas.
Neste artigo, exploramos o funcionamento da autenticação sem senha e explicamos por que ela é tão eficaz em aplicações para o consumidor e para o mercado de trabalho.
Como a FIDO potencializa a autenticação sem senha
A FIDO muda o paradigma da autenticação de algo que você conhece – que, se for simples o suficiente para ser memorável, também é fácil de adivinhar ou roubar – para dispositivos criptográficos que você possui. Essa proteção pode ser ainda mais reforçada com a verificação biométrica, que depende de quem você é.
A FIDO utiliza criptografia de chave pública assimétrica. Uma chave é privada e armazenada no dispositivo individual do usuário, enquanto a outra chave é pública e mantida pelo site ou serviço.
Ao se autenticar, o usuário utiliza sua chave privada para gerar um criptograma que pode ser verificado com a chave pública correspondente.
Até recentemente, as chaves FIDO privadas eram armazenadas em tokens de hardware dedicados, conhecidos como chaves de segurança – como as chaves de segurança e cartões inteligentes. Agora as chaves de segurança podem ser incorporadas a um módulo criptográfico para uso exclusivo em um dispositivo específico, elas oferecem altos níveis de segurança.
Desde o final de 2022, com o maior suporte de empresas como Apple, Google e Microsoft, as chaves FIDO também podem ser armazenadas em dispositivos Android e iOS e em nuvem.
Isso significa que os usuários podem se autenticar usando dispositivos que já possuem ou em computadores desktop próximos. Esse novo tipo de chave FIDO é conhecido como chave de acesso.
Dispositivos contendo chaves FIDO podem oferecer proteção adicional por meio da biometria específica do dispositivo, como impressões digitais ou reconhecimento faciais.
Vantagens e desvantagens da FIDO
No nível empresarial, a FIDO se destaca como uma das tecnologias mais acessíveis para eliminar o uso de senhas, reduzindo significativamente o risco de ataques de engenharia social.
Outras vantagens da FIDO incluem
- Segurança
- Resistência a phishing e ataques à rede corporativa.
- Armazenamento de chaves FIDO privadas em dispositivos individuais, não em servidores.
- Opção de fortalecer a segurança com biometria integrada do dispositivo.
- Conveniência:
- Alto nível de confiança sem comprometer a facilidade de uso.
- Autenticação simples e rápida sem a necessidade de lembrar senhas.
- Velocidade:
- Integração com recursos de dispositivos e sistemas empresariais conhecidos (Office 365, Google Workspace).
- APIs disponíveis para navegadores e plataformas.
- Integração mínima com outros aplicativos da Web.
- Resistência ao comprometimento:
- Dificuldade em roubar chaves FIDO privadas.
- Limitação do impacto do comprometimento de uma chave a um único serviço.
- Confiança:
- Controle do usuário sobre suas informações de identificação pessoal (PII).
- Certificação:
- Diversas opções de implementação, desde smartphones até hardware dedicado.
- Programa de certificação da FIDO Alliance para garantir compatibilidade e segurança.
- FIDO: o futuro da segurança online
A autenticação sem senha impulsionada pela FIDO redefine a segurança online, eliminando a necessidade de senhas e trazendo confiança, conveniência e resistência ao comprometimento. A era das senhas está chegando ao fim, e essa é uma mudança muito bem-vinda.
Quais são as empresas que emitem as chaves de criptografia FIDO?
Diversas empresas emitem chaves de criptografia FIDO, abrangendo diferentes categorias e soluções para atender às necessidades específicas de cada usuário ou organização.
A seguir confira a relação de algumas empresas que oferecem chaves de segurança FIDO:
1 – Fabricantes de hardware
- THALES
- HID Global: Crescendo, iCLASS Seos®
- Yubico: YubiKey
- Feitian: ePass, BioPass
- NXP: SmartMX PKI
- Google: Titan Security Key
2 – Empresas de tecnologia:
- Apple: iPhone, iPad, Apple Watch com Touch ID ou Face ID
- Google: Android com Google Pay
- Microsoft: Windows Hello com autenticação facial ou por impressão digital
3 – Provedores de soluções de identidade:
- Auth0: Universal Login
- OneLogin: Protect
- Okta: Verify
4 – Operadoras de telecomunicações:
- AT&T: AT&T Mobile Security Key
- Verizon: Verizon Identity Management
5 – Bancos e instituições financeiras
- Banco do Brasil: BB Conta
- Itaú Unibanco: Itaú Token
6 – Outras empresas que oferecem soluções FIDO
- Amazon Web Services: AWS Identity and Access Management (IAM)
- Microsoft Azure: Azure Active Directory (AD)
- Google Cloud Platform: Google Cloud Identity and Access Management (IAM)
A escolha da chave FIDO ideal depende de diversos fatores, como compatibilidade com dispositivos e plataformas, nível de segurança desejado e orçamento disponível.
É importante verificar se a empresa escolhida é membro da FIDO Alliance e se seus produtos são certificados pela FIDO.
Recursos para encontrar chaves FIDO
Lista de produtos FIDO certificados
A variedade de empresas que oferecem chaves FIDO demonstra a ampla adoção dessa tecnologia como um método seguro e conveniente de autenticação. Ao escolher a chave ideal e implementá-la de forma adequada, indivíduos e empresas podem fortalecer significativamente sua segurança online.
Saiba mais sobre FIDO
A FIDO Alliance é uma associação industrial aberta com uma missão focada: reduzir a dependência mundial de senhas. Para conseguir isso, a FIDO Alliance promove o desenvolvimento, uso e conformidade com padrões de autenticação e atestação de dispositivos.
A Aliança FIDO está mudando a natureza da autenticação com padrões abertos para logins resistentes a phishing com chaves de acesso que são mais seguras do que senhas e OTPs de SMS, mais simples para consumidores e funcionários usarem e mais fáceis para provedores de serviços implantarem e gerenciarem. A Aliança também fornece padrões para integração segura de dispositivos para garantir a segurança e a eficiência dos dispositivos conectados que operam em ambientes de nuvem e IoT.
A Aliança FIDO trabalha para cumprir sua missão
- Desenvolver especificações técnicas que definam um conjunto de mecanismos abertos, escaláveis e interoperáveis que reduzam a dependência de senhas para autenticar usuários e dispositivos
- Operar programas de certificação da indústria para ajudar a garantir a adoção mundial bem-sucedida das especificações
- Fornecer programas de educação e adoção de mercado para promover o uso de FIDO globalmente
- Envio de especificações técnicas maduras a organizações reconhecidas de desenvolvimento de padrões para padronização formal
AUTENTICAÇÃO
Autenticação forte faz parte da estratégia de segurança da informação de todas as empresas que utilizam meios eletrônicos. No Crypto ID temos muitos artigos e matérias sobre o tema para complementar seu conhecimento. Leia sobre Autenticação nesse link!
Acompanhe o Crypto ID para conhecer as melhores soluções sobre IAM – Gerenciamento de Identidade e Acesso e CIAM – Gerenciamento de Acesso à Identidade do Cliente. Acesse nossa coluna aqui!
Autenticação biométrica: a chave para um futuro digital seguro
Netbr abre espaço para apresentações de IAM no Identity-First Festival
REGINA TUPINAMBÁ | CCO – Chief Content Officer – Crypto ID. Publicitária formada pela PUC Rio. Como publicitária atuou em empresas nacionais e internacionais atendendo marcas de grande renome. Em 1999, migrou sua atuação para empresas do universo de segurança digital onde passou ser a principal executiva das áreas comercial e marketing em uma Autoridade Certificadora Brasileira. Acompanhou a criação da AC Raiz da ICP-Brasil e participou diretamente da implementação e homologação de inúmeras Autoridades Certificadoras. Foi, também, responsável pelo desenvolvimento do mercado de SSL no Brasil. É CEO da Insania Publicidade e como CCO do Portal Crypto ID dirige a área de conteúdo do Portal desde 2014. Acesse seu LinkedIn.
Leia outros artigos escritos por Regina, aqui!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!