Como eliminar senhas por completo

A implementação de passkeys representa um salto monumental na segurança da autenticação, mas não é a jornada completa. Se você já implementou passkeys, provavelmente está comemorando a melhoria nas métricas de segurança, mas como realmente fazemos a transição de ter passkeys para alcançar uma autenticação totalmente sem senhas?

As passkeys oferecem vantagens de segurança cruciais através do seu design resistente a phishing, usando criptografia de chave pública vinculada a domínios específicos, o que torna impossível para os invasores enganarem os usuários para que se autentiquem em sites fraudulentos. Elas eliminam a reutilização de credenciais, já que cada passkey é única para um serviço específico, o que significa que o comprometimento de um serviço não afeta os outros. Além disso, fornecem imunidade a ataques de força bruta, substituindo segredos memorizados por chaves criptográficas que não podem ser adivinhadas ou quebradas.

No entanto, essas poderosas vantagens desaparecem no momento em que um usuário pode contornar a autenticação com passkey e fazer login com uma senha. Isso levanta uma questão crucial: Por que as passkeys sozinhas não são suficientes para uma segurança completa? A resposta está em entender que, enquanto a porta da senha permanecer aberta, os invasores tentarão entrar por ela. Ainda mais importante é a questão: o que torna a recuperação de conta a vulnerabilidade oculta que pode minar toda a sua implementação de passkeys? Violações recentes de grande repercussão mostraram que os invasores visam cada vez mais os fluxos de recuperação em vez da autenticação primária.

Este artigo irá guiá-lo pela jornada completa, desde a implementação de passkeys até a obtenção de uma verdadeira segurança sem senhas, abordando cada uma dessas questões críticas com soluções práticas e exemplos do mundo real.

Autenticação verdadeiramente passwordless significa eliminar completamente as senhas da sua arquitetura de segurança. Em um sistema sem senhas, os usuários não podem definir, redefinir ou usar senhas em nenhum ponto de sua jornada de autenticação. Em vez disso, a autenticação depende inteiramente de métodos criptográficos como passkeys.

Muitas organizações afirmam ser "passwordless" enquanto ainda mantêm senhas em segundo plano como uma opção de fallback. Isso não é verdadeiramente passwordless, mas sim apenas uma opção sem senha. A distinção é importante porque, enquanto as senhas existirem em qualquer parte do seu sistema, incluindo os fluxos de recuperação, elas permanecem uma vulnerabilidade explorável que os invasores irão visar.

A verdadeira segurança sem senhas exige tanto a eliminação de senhas da autenticação primária QUANTO a garantia de que os processos de recuperação sejam igualmente resistentes a phishing.

Manter senhas como uma opção de fallback preserva todos os vetores de ataque que as passkeys foram projetadas para eliminar. Os invasores simplesmente redirecionam suas campanhas de phishing para visar a entrada de senhas, enquanto os ataques de credential stuffing e password spraying continuam usando credenciais roubadas de outras violações. A engenharia social permanece eficaz, pois os usuários ainda podem ser enganados para revelar senhas a falsos agentes de suporte.

Enquanto as senhas existirem, elas permanecem o elo mais fraco, um único ponto de entrada que contorna completamente a segurança resistente a phishing das passkeys.

Olhar apenas para a experiência de login também não é suficiente. Um vetor de ataque crítico, mas muitas vezes negligenciado, é o fluxo de recuperação de conta. Mesmo as organizações que implementaram passkeys podem permanecer vulneráveis se seu processo de recuperação depender de métodos suscetíveis a phishing, como OTPs por SMS ou links mágicos por e-mail.

Considere a violação de grande repercussão da MGM Resorts em 2023, onde os invasores não visaram o sistema de autenticação primário, mas exploraram o processo de recuperação de conta por meio de engenharia social, contornando todas as medidas de segurança primárias. Da mesma forma, a violação do sistema de suporte da Okta demonstrou como os fluxos de recuperação podem se tornar o elo mais fraco, permitindo que os invasores redefinam credenciais e obtenham acesso não autorizado aos ambientes dos clientes.

Esses incidentes ressaltam uma verdade crucial: implementar passkeys sem proteger o fluxo de recuperação é como instalar uma porta de aço e deixar as janelas abertas.

Alcançar uma verdadeira autenticação sem senha não é um único passo, é uma jornada estratégica que requer planejamento cuidadoso, implementação gradual e otimização contínua:

A primeira fase foca em introduzir passkeys como um método de autenticação adicional, mantendo as opções existentes como fallbacks. Esta etapa de construção de base permite que os usuários tenham tempo para entender e confiar na nova tecnologia, enquanto mantêm métodos familiares disponíveis para reduzir o atrito.

Passos Chave de Implementação:

• Integrar a autenticação com passkey ao seu fluxo de autenticação existente
• Habilitar a criação de passkeys para usuários novos e existentes
• Manter senhas e outros métodos de autenticação como alternativas
• Acompanhar as taxas de criação de passkeys e os padrões de uso

Métricas de Sucesso:

• Porcentagem de usuários que criaram pelo menos uma passkey acima de 50%
• Taxa de sucesso na criação de passkeys acima de 95%
• Uso inicial de passkeys para autenticação atingindo 20-30%

Uma vez que as passkeys estejam disponíveis, o foco muda para impulsionar a adoção e torná-las o método de autenticação preferido. Esta fase transforma as passkeys de uma opção alternativa para a escolha principal de autenticação por meio de engajamento estratégico do usuário e otimização.

Passos Chave de Implementação:

• Tornar a autenticação com passkey a opção padrão nos fluxos de login
• Implementar prompts inteligentes que incentivam a criação de passkeys após logins bem-sucedidos com senha
• Educar os usuários sobre os benefícios de segurança e conveniência através de mensagens no aplicativo
• Oferecer incentivos para a adoção de passkeys (checkout mais rápido, recursos exclusivos)
• Realizar testes A/B com diferentes mensagens e abordagens de UI para maximizar a conversão
• Implementar políticas de acesso condicional que exigem passkeys para operações sensíveis

Métricas de Sucesso:

• Mais de 60% dos usuários ativos com pelo menos uma passkey
• Mais de 80% dos logins usando passkeys para contas habilitadas para passkey
• Taxa de falha na criação de passkeys inferior a 2%

É aqui que a verdadeira transformação de segurança acontece: remover completamente as senhas para usuários que usam passkeys de forma consistente. Esta fase elimina o principal vetor de ataque ao desativar as senhas para usuários que demonstraram uma adoção bem-sucedida de passkeys.

Passos Chave de Implementação:

• Analisar os padrões de autenticação do usuário usando sistemas de monitoramento inteligentes
• Identificar usuários que usam exclusivamente passkeys com múltiplos dispositivos prontos para passkey
• Oferecer a desativação de senhas com uma mensagem clara sobre os benefícios de segurança
• Verificar a disponibilidade de passkeys de backup (sincronizadas na nuvem ou em múltiplos dispositivos)

Métricas de Sucesso:

• Mais de 30% dos usuários elegíveis removendo voluntariamente as senhas
• Nenhum aumento nas taxas de bloqueio de conta
• Manutenção ou melhoria nas pontuações de satisfação do usuário

A fase final aborda a última vulnerabilidade: transformar a recuperação de conta em um processo resistente a phishing. Esta fase garante que os fluxos de recuperação correspondam ao nível de segurança da autenticação primária, prevenindo ataques por brechas.

Passos Chave de Implementação:

• Implementar autenticação multifator com pelo menos um fator resistente a phishing
• Fatores resistentes a phishing disponíveis:
  • Passkeys de Backup: Passkeys de recuperação armazenadas em dispositivos secundários ou serviços em nuvem que fornecem prova criptográfica de identidade (opção mais amplamente disponível)
  • API de Credenciais Digitais: Padrão W3C para afirmações de identidade criptograficamente verificadas de provedores confiáveis (tecnologia emergente, ainda não difundida)
  • Chaves de Segurança de Hardware: Tokens físicos FIDO2 registrados como fatores de recuperação que não podem ser phished ou duplicados (exige que os usuários comprem e mantenham dispositivos físicos)
  • Verificação de Documento de Identidade com Detecção de Vivacidade: Escaneamento de documento de identidade governamental combinado com ações biométricas em tempo real para provar a presença física

Nota sobre as opções de recuperação: Embora a API de Credenciais Digitais e as Chaves de Segurança de Hardware ofereçam forte segurança, elas ainda não são amplamente adotadas. A primeira é uma tecnologia emergente e a segunda exige que os usuários comprem dispositivos físicos.

Quando as passkeys de backup não estão disponíveis, a verificação de documento de identidade com detecção de vivacidade se torna uma alternativa viável. Apesar de possíveis contornos para burlar as verificações de vivacidade sem a posse física de um documento de identidade, esses métodos ainda fornecem uma segurança significativamente mais forte do que os OTPs tradicionais, que podem ser facilmente interceptados por meio de phishing, troca de SIM ou ataques man-in-the-middle.

Métricas de Sucesso:

• 100% dos fluxos de recuperação incluem fatores resistentes a phishing
• Zero tomadas de conta bem-sucedidas através de processos de recuperação
• Taxas de conclusão de recuperação mantidas acima de 90%

O movimento passwordless está ganhando força em toda a indústria de tecnologia, com empresas líderes abandonando as senhas.

Várias empresas já alcançaram a eliminação completa de senhas para suas operações internas. Okta, Yubico e Cloudflare efetivamente chegaram a zero uso de senhas internamente e seus fluxos de login não aceitam mais senhas.

Os gigantes da tecnologia Google, Apple, Microsoft e X estão ativamente descontinuando as senhas, mas ainda não as eliminaram completamente. Sua abordagem equilibra melhorias de segurança com a escolha do usuário durante o período de transição.

O Google adotou uma postura agressiva ao ativar a opção "Pular senha quando possível" por padrão para todas as contas, tornando as passkeys o método de autenticação preferido, mas ainda permitindo que os usuários optem por não usar, se necessário. Essa abordagem de opt-out cria um forte impulso em direção ao passwordless, mantendo a flexibilidade para os usuários que ainda não estão prontos para a transição.

A Microsoft vai um passo além, permitindo que os usuários removam completamente suas senhas de suas contas hoje, com planos de "eventualmente remover o suporte a senhas por completo" no futuro. Este roteiro claro sinaliza aos usuários que as senhas estão com os dias contados, incentivando a adoção antecipada de métodos sem senha.

A Apple integrou as passkeys em todo o seu ecossistema e promove ativamente seu uso, embora as senhas do Apple ID permaneçam disponíveis como uma opção de fallback. Sua abordagem aproveita a sincronização perfeita entre os dispositivos Apple para tornar a adoção de passkeys o mais fácil possível.

Essas empresas não estão forçando uma mudança imediata, mas estão enviando uma mensagem clara: as senhas desaparecerão assim que a adoção atingir uma massa crítica. Suas estratégias envolvem tornar as passkeys o padrão, educar os usuários sobre os benefícios e reduzir gradualmente a funcionalidade das senhas.

A decisão de remover as senhas não deve ser apressada ou aplicada universalmente. Em vez disso, devemos adotar uma abordagem gradual e baseada em dados que considere o comportamento do usuário, as capacidades do dispositivo e os perfis de risco.

Setores de alto risco que sofrem ataques de phishing severos hoje devem iniciar sua transição para o passwordless imediatamente, mas ainda seguir uma implementação gradual e estratégica:

• Bancos e Instituições Financeiras: Alvos principais para roubo de credenciais. Para bancos europeus, as passkeys também se alinham aos requisitos de Autenticação Forte do Cliente (SCA) da PSD2, fornecendo MFA resistente a phishing que atende à conformidade regulatória enquanto melhora a experiência do usuário.
• Provedores de Pagamento e Fintechs: O acesso direto aos fundos dos clientes os torna atraentes para o crime cibernético organizado.
• Corretoras de Criptomoedas: Transações irreversíveis significam que credenciais roubadas levam a perdas permanentes.
• Saúde e Seguros: Enfrentam tanto requisitos de conformidade quanto riscos à segurança do paciente devido ao roubo de identidade médica.
• Governo e Infraestrutura Crítica: Alvos de atores de estados-nação com campanhas sofisticadas de spear-phishing.

Para essas organizações, a ação imediata é crítica, mas o sucesso ainda requer uma abordagem de implementação metódica e gradual. Comece hoje, mas implemente estrategicamente para garantir alta adoção e evitar bloqueios de usuários.

Comece com um subgrupo menor: Inicie sua transição para o passwordless com usuários que demonstram uso consistente de passkeys. Esses primeiros adeptos ajudarão a identificar possíveis problemas antes de uma implantação mais ampla.

Analise os padrões de comportamento do usuário:

• Frequência de login e métodos usados
• Tipos de dispositivos e compatibilidade com passkeys
• Tentativas de autenticação falhas
• Uso do fluxo de recuperação
• Padrões de autenticação entre dispositivos

Usuários elegíveis para desativação de senha com base nesses padrões:

• Autenticam-se consistentemente via passkeys - mostrando que estão confortáveis com a tecnologia
• Usam passkeys em múltiplos dispositivos - indicando que têm métodos de acesso de backup
• Não usaram senhas ou fluxos de recuperação nos últimos 30-60 dias - demonstrando que não dependem da autenticação baseada em senha

A Corbado fornece uma plataforma abrangente para guiar as organizações através de todas as quatro fases da jornada passwordless descrita acima. Desde a implementação inicial de passkeys até a eliminação completa de senhas, a solução da Corbado lida com a complexidade técnica enquanto fornece as ferramentas necessárias para uma adoção bem-sucedida pelo usuário.

Suporte para as Fases 1 e 2: A Corbado oferece uma integração perfeita de passkeys com pilhas de autenticação existentes, prompts inteligentes que maximizam as taxas de adoção e análises detalhadas para acompanhar a criação e os padrões de uso de passkeys. O recurso Passkey Intelligence da plataforma otimiza automaticamente a experiência do usuário com base nas capacidades do dispositivo e no comportamento do usuário, garantindo uma integração tranquila.

Implementação das Fases 3 e 4: Para organizações prontas para remover as senhas completamente, a Corbado permite a desativação gradual de senhas com base na prontidão do usuário, mantendo fluxos de recuperação seguros e resistentes a phishing.

Ao lidar com a compatibilidade entre plataformas, mecanismos de fallback e otimização da experiência do usuário, a Corbado acelera a transformação para o passwordless de anos para meses, permitindo que as organizações se concentrem em seu negócio principal enquanto alcançam uma autenticação resistente a phishing.

A jornada para uma verdadeira autenticação sem senha responde às duas perguntas críticas que levantamos no início:

Por que as passkeys sozinhas não são suficientes para uma segurança completa? Porque a segurança é tão forte quanto seu elo mais fraco. Enquanto as senhas permanecerem disponíveis, mesmo como um fallback, os invasores simplesmente se voltarão para elas através de phishing, credential stuffing ou ataques de downgrade. Cada senha em seu sistema mina os benefícios de resistência a phishing das passkeys.

O que torna a recuperação de conta a vulnerabilidade oculta? Os fluxos de recuperação são muitas vezes a brecha esquecida. Como demonstraram as violações da MGM Resorts e da Okta, os invasores cada vez mais contornam implementações robustas de passkeys explorando métodos de recuperação mais fracos, como OTPs por SMS ou links mágicos por e-mail. É como instalar uma porta de aço e deixar as janelas abertas.

A verdadeira segurança sem senhas exige a conclusão de toda a jornada: implementar passkeys, impulsionar a adoção, remover completamente as senhas e proteger os fluxos de recuperação com métodos resistentes a phishing. Somente fechando todas as portas de senha, incluindo aquelas escondidas nos processos de recuperação, as organizações podem alcançar uma autenticação verdadeiramente segura.