Os cibercriminosos estão ficando mais sofisticados a cada dia. Enquanto isso, muita gente ainda protege suas contas com "Senha123".
Uma das principais áreas de atuação dos cibercriminosos é a segurança de contas de usuário, que geralmente é feita com uma combinação de nome de usuário e senha. Some isso a usuários desinformados, e os agentes mal-intencionados têm um caminho muito mais fácil.
Senhas fáceis.
Senhas reutilizadas.
Sem autenticação multifator.
Cada um dos itens acima contribui para o problema.
Felizmente, há uma nova ferramenta de segurança ganhando popularidade: as chaves de acesso. Elas substituem as senhas e usam autenticação biométrica, como leitura de impressão digital ou reconhecimento facial, para ajudar a proteger dados confidenciais com um processo de verificação de usuário mais seguro.
O que são chaves de acesso?
Chaves de acesso são um método criptográfico seguro para autenticar usuários sem senhas, oferecendo mais segurança online, proteção e facilidade de uso. Depois de configuradas, são mais fáceis de usar do que senhas e exponencialmente mais seguras, pois sua força não depende do usuário.
Cada vez mais sites estão adotando essa tecnologia sem senha, incluindo muitas grandes empresas de tecnologia, como Google, Amazon, Apple e Microsoft.
Saiba mais sobre chaves de acesso neste blog detalhado:
Chaves de acesso são uma forma de autenticação sem senha que substitui as senhas tradicionais. Elas podem ser usadas na maioria dos sistemas operacionais dentro de um gerenciador de senhas e utilizam criptografia de chave pública, que está em desenvolvimento há mais de 10 anos. A FIDO Alliance foi fundada em 2013 para orientar e impulsionar a tecnologia, garantindo padrões universais e abertos, e conta com o apoio de uma longa lista de membros e patrocinadores, incluindo a Bitwarden. As chaves de acesso utilizam os protocolos criptográficos WebAuthn desenvolvidos pela aliança, considerados o padrão ouro em autenticação segura.
Como funcionam as chaves de acesso?
Em sua essência, as chaves de acesso foram criadas para substituir as senhas e são bastante simples graças à criptografia de chave pública.
Quando um usuário se cadastra em uma nova conta em um site ou app (que oferece suporte a chaves de acesso), ele é solicitado a criar uma chave de acesso. Quando solicitado, basta escanear o código QR fornecido com um celular para criar automaticamente a chave de acesso.
Essa chave de acesso consiste em duas chaves: uma chave pública e uma chave privada. A chave pública é armazenada no servidor, e a chave privada fica no dispositivo do usuário. Depois que o usuário cria a chave de acesso, ele é solicitado a usá-la para acessar esse site. Só resta usar biometria por impressão digital ou facial em um celular para fazer login.
Para entrar em um site compatível com chaves de acesso, o site enviará um desafio de login — um número aleatório muito grande — e a chave secreta do usuário usará criptografia para “assinar” o desafio com uma resposta a ele. O site verifica a assinatura em relação à sua chave pública para confirmar a autenticidade. Após a confirmação, o site pode conceder acesso à conta.
Como cada chave de acesso é um par de duas chaves criptográficas assimétricas relacionadas, que são sequências de caracteres muito longas e aleatórias, o processo de autenticação é significativamente mais seguro. Embora essas duas chaves sejam diferentes, elas têm uma relação especial: uma pode descriptografar mensagens (a chave privada no dispositivo do usuário, com suporte da maioria dos sistemas operacionais) que foram criptografadas pela outra (a chave pública no servidor). Esse par de chaves é usado para verificar e autenticar o usuário.
Ao contrário das senhas, o par de chaves consiste em uma chave privada, mantida com segurança no dispositivo ou em um gerenciador de senhas compatível com chaves de acesso (também chamado de provedor de chaves de acesso), e uma chave pública, armazenada no site em que o usuário está fazendo login. Uma das coisas mais importantes sobre esses pares de chaves é que a chave privada é segura e nunca sai dos sistemas operacionais em que está armazenada, e o gerenciador de senhas a mantém protegida por biometria, PIN ou senha. Já a chave pública poderia ser compartilhada com o mundo, por exemplo, no caso de uma violação de dados de um site, e a segurança ainda não seria comprometida, desde que a chave privada permanecesse segura.
Veja uma analogia popular para ajudar a entender pares de chaves assimétricas. O infográfico abaixo explica as etapas para usar uma chave de acesso e seu par de chaves para verificar a autenticidade de um usuário ao fazer login em um site.
Graças ao par de chaves pública e privada, as chaves de acesso são muito mais eficazes para prevenir ataques de phishing e garantir melhor a privacidade do usuário.
Chaves de acesso no Bitwarden
Gerenciador de Senhas Bitwarden oferece suporte à criação e ao armazenamento de chaves de acesso, facilitando o gerenciamento delas.
Comece hoje mesmo com uma conta gratuita ou compartilhe com sua equipe ao iniciar uma avaliação empresarial gratuita.
Para desenvolvedores, o Bitwarden Passwordless.dev fornece frameworks de API para ajudar você a criar credenciais FIDO detectáveis, como chaves de acesso.