A Redbelt Security vem analisando há algum tempo os benefícios e os riscos da autenticação sem senha, uma abordagem que se propõe a eliminar a necessidade de senhas tradicionais em favor de métodos mais seguros e convenientes de segurança cibernética.
É um método que inclui biometria, tokens de hardware e autenticação multifator, entre outros, e vem ganhando destaque devido à resistência a ataques de phishing, malware e força bruta. Entre os benefícios destas autenticações estão a eliminação de riscos relacionados às senhas, que são frequentemente o elo mais fraco na cibersegurança cibernética, por serem facilmente roubadas, adivinhadas ou reutilizadas.
“Estes mecanismos reduzem também ataques de phishing e stuffing de credenciais, porque esses ataques dependem da obtenção de senhas de usuários por meio de engenharia social ou sites falsos, além de protegerem contra os ataques man-in-the-middle, por envolver criptografia forte e outros recursos de segurança, tornando maior a resistência a interceptação de comunicações entre um usuário e um aplicativo por invasores para roubar credenciais ou dados”, diz Marcos Almeida, gerente do Red Team e de inteligência de ameaças na Redbelt Security.
Segundo Almeida, outras vantagens destas autenticações são uma melhor experiência do usuário, que ganha maior conveniência por não precisar criar, lembrar e gerenciar várias senhas complexas, tem acesso mais rápido e maior acessibilidade. Além disso, são reduzidos custos de TI relacionados à redefinição de senhas, suporte ao usuário e investigações de violações de dados e há melhoria de conformidade com controles de acesso mais fortes.
Os principais mecanismos de autenticação sem senha são:
Fatores de posse: são métodos de autenticação que dependem de algo que o usuário possui fisicamente. Isso inclui dispositivos móveis que geram ou recebem tokens de autenticação; aplicativos autenticadores que geram senhas de uso único baseadas em tempo (TOTPs) ou notificações push; tokens de hardware (tokens USB ou chaves compatíveis com FIDO2) ou cartes inteligentes que contêm credenciais de usuário.
Biometria: usam características físicas ou comportamentais exclusivas do usuário para autenticação. Isso pode incluir leituras de impressões digitais, reconhecimento facial, varreduras de retina e íris, impressões de voz e até mesmo a atividade elétrica do coração do usuário (ECG).
Fatores de conhecimento: embora não seja um método direto de autenticação sem senha, fatores de conhecimento como PINs ou respostas a perguntas secretas podem ser usados em combinação com outros métodos em uma configuração de autenticação multifator (MFA).
Links mágicos: links mágicos são URLs exclusivas e de uso único, enviadas para o e-mail ou telefone de um usuário. Quando o usuário clica no link, ele é autenticado sem a necessidade de inserir senha.
“Os benefícios têm motivado o uso crescente desses métodos em setores como finanças, saúde e governo e destacado seu papel vital na proteção de dados sensíveis e na conformidade regulatória. Mas existem discussões sobre as limitações atuais da autenticação sem senha, especialmente em relação aos deepfakes e à verificação da verdadeira identidade do usuário”, alerta Almeida.
O executivo da Redbelt Security explica que “estratégias como autenticação baseada em contexto e identificação adaptativa de riscos, podem mitigar danos, sendo essenciais para enfrentar as ameaças avançadas na era digital. Porém, é fundamental considerar que a adoção de uma estratégia de cibersegurança com autenticação sem senha exige mudanças na infraestrutura e nos processos de TI e que é necessário escolher métodos que sejam fáceis de usar e acessíveis a todos os usuários.
“Os métodos de autenticação sem senha devem ser robustos e oferecer proteção adequada contra quaisquer ataques. Entretanto, apesar de oferecerem um caminho promissor para melhorar a segurança cibernética e a experiência do usuário, eles ainda estão em desenvolvimento e podem não ser ideias para todos os tipos de empresas e indivíduos, que devem considerar cuidadosamente seus benefícios e desafios antes de implementar qualquer solução”, recomenda Almeida.
