A palavra-passe, ou password continua a ser um dos quesitos mais necessários e controversos da atualidade, com várias entidades a trabalhar no sentido de irmos além das passwords em pleno 2025.
Com efeito, por ocasião do Dia Mundial da Palavra-Passe, que se celebra a 1 de maio, a Sophos enfatiza as limitações das passwords. Ou seja, da palavra-passe e dos métodos de autenticação baseados em conhecimento. Isto uma vez as sofisticadas técnicas, táticas e procedimentos (TTPs) dos ciberatacantes em 2025 permitem-lhes contornar facilmente os métodos de autenticação tradicionais.
Com efeito, a edição deste ano do relatório ‘Active Adversary’ da Sophos indica que as credenciais comprometidas representam a principal causa de ataque (41% dos casos) pelo segundo ano consecutivo. Ora, é essencial que os utilizadores e as empresas adotem métodos mais robustos para proteger os seus dados contra o roubo de credenciais.
As limitações da proteção baseada no conhecimento
Em primeiro lugar, as soluções de autenticação dupla ou multifator (2FA/MFA) são amplamente adotadas. No entanto, tal como as palavras-passe, estas camadas adicionais de proteção dependem frequentemente de códigos secretos. Ora, estes baseados em conhecimento partilhados através de SMS ou de aplicações de autenticação.
Infelizmente, muitos destes métodos continuam a ser vulneráveis. Aliás, atualemnte, os hackers têm à disposição ferramentas como o evilginx2, que facilitam contornar estas proteções ao automatizar o phishing ou roubar cookies de sessão
Isto significa que adiar constantemente o momento em que as palavras-passe se tornam obsoletas. Por isso, através de adições frágeis, parece estar repleto de perigos. A realidade do cenário de ciberameaças deve empurrar as empresas para uma mudança de paradigma, afastando-as do modelo de palavra-passe e segredos partilhados baseados no conhecimento.
WebAuthn e chaves de acesso: rumo a uma autenticação multi fator mais forte?
Para proteger contra o phishing, o protocolo WebAuthn – que utiliza chaves de acesso ou passkeys em particular – é atualmente objeto de consenso entre os especialistas em cibersegurança.
Aliás, com este método, quando uma conta é criada, é gerado um par único de chaves criptográficas públicas/privadas. Estas são armazenadas localmente: no servidor do website, para a chave pública. Ademais, no terminal do utilizador, para a chave privada, juntamente com o nome do website e a identificação do utilizador.
Assim sendo, para iniciar sessão, o utilizador já não precisa de introduzir uma palavra-passe ou um código secreto partilhado por SMS, ou por uma aplicação de autenticação.
Em vez disso, o servidor envia um pedido de autenticação digital que só pode ser resolvido se o utilizador estiver na posse física de um dispositivo e puder provar que é o proprietário da chave privada. Isto através de verificação biométrica, por exemplo.
Assim, a autenticação continua a basear-se em dois fatores, mas estes não dependem do conhecimento do utilizador, mas sim da posse física de um dispositivo e das características biométricas do próprio utilizador.
Em princípio, portanto, as credenciais não podem ser roubados através de métodos convencionais de phishing.
Além disso, o processo de autenticação inclui uma verificação bidirecional que permite ao utilizador verificar a identidade do serviço através do domínio do website, enviado quando o servidor solicita a autenticação.
Por outro lado, contrariamente aos métodos que utilizam palavras-passe e códigos secretos baseados no conhecimento, o utilizador já não é o único a ter de provar a sua legitimidade.
Precauções a tomar para garantir uma autenticação sólida e simplificada sem passwords
Este novo padrão da indústria, baseado na norma FIDO2, parece oferecer uma proteção comprovada contra o phishing. Em si, o principal vetor de ameaça para o roubo de credenciais como as passwords, ao mesmo tempo que simplifica a autenticação para os utilizadores.
No entanto, embora o WebAuthn represente um grande passo em frente, continuam a existir várias vulnerabilidades e é necessário manter a vigilância:
- É imperativo garantir que o dispositivo ou a Cloud onde as palavras-passe são armazenadas é seguro;
- A transição bem-sucedida para o WebAuthn requer a adesão e a adoção por parte das empresas e dos departamentos;
- O roubo de cookies de sessão continua a ser um vetor de ataque que permitiria aos ciberataques contornar esta proteção.
É importante ter em conta que os cibercriminosos estão constantemente a aperfeiçoar os seus métodos de ataque. Assim, pelo que a adoção destas tecnologias deve ser uma prioridade estratégica de cibersegurança para as empresas.
“Temos de afastar-nos da dependência de palavras-passe e segredos partilhados. As chaves de acesso ou passkeys representam atualmente a solução mais robusta para construir um futuro sem palavras-passe, sem phishing e, esperamos, sem comprometimentos em grande escala,” comentou Chester Wisniewski, Director, Global Field CISO da Sophos
Fica mais conectado: