Exigir MFA e Transição para Chaves de Acesso: Melhores Práticas

1. Introdução: A nova realidade da MFA obrigatória#

A Autenticação Multifator (MFA) passou de forma decisiva de uma funcionalidade de segurança para utilizadores proativos para uma realidade inegociável e obrigatória para organizações em todo o mundo. Esta transformação não é motivada por escolha, mas por necessidade, alimentada por ataques cibernéticos implacáveis baseados em credenciais e pela crescente pressão regulamentar. Setores que vão desde os serviços financeiros até ao setor público operam agora sob quadros normativos que fazem da MFA um requisito básico de conformidade. Esta nova era, onde a MFA é imposta em vez de oferecida, introduz uma cascata de desafios complexos que se estendem muito para além da implementação técnica inicial.

Quando todos os utilizadores devem usar a MFA, surge um novo conjunto de questões críticas às quais todas as organizações devem responder. Este artigo irá explorar esses desafios em profundidade, fornecendo um caminho claro a seguir. Abordaremos:

1. Quais são os custos operacionais ocultos e as armadilhas na experiência do utilizador ao impor a MFA em grande escala?

2. Quando lhes é dada uma escolha, que métodos de MFA é que os utilizadores adotam realmente e que riscos de segurança é que isso cria?

3. Como é que a recuperação de contas se torna o novo principal desafio num ambiente de obrigatoriedade e quais são os compromissos para resolvê-lo?

4. Por que motivo é que as chaves de acesso são a solução estratégica para os problemas criados pela obrigatoriedade de MFA, e não apenas mais uma opção?

5. Qual é o plano prático passo a passo para fazer a transição com sucesso de uma MFA legada obrigatória para a segurança superior e experiência de utilizador das chaves de acesso?

Esta análise fornecerá um plano claro e acionável para uma transição bem-sucedida da autenticação de fator único para a MFA obrigatória (e para as chaves de acesso obrigatórias).

2. A mudança na segurança: Compreender o contexto da MFA obrigatória#

Antes de explorar os desafios da imposição, é crucial estabelecer uma compreensão clara do panorama da autenticação e a razão pela qual a obrigatoriedade o altera fundamentalmente. A própria terminologia pode ser fonte de confusão, mas as distinções são críticas para qualquer estratégia de segurança ou de produto.

2.1 Uma rápida revisão: SFA, 2SV e verdadeira MFA#

A evolução da autenticação é uma resposta direta à fraqueza inerente da sua forma mais básica.

• Autenticação de fator único (SFA): A familiar combinação de nome de utilizador e senha. Baseia-se num único fator de "conhecimento", algo que o utilizador conhece. A sua vulnerabilidade a ataques de phishing, credential stuffing e força bruta é o principal impulsionador de métodos mais fortes.

• Verificação em duas etapas (2SV): Frequentemente usada de forma intercambiável com MFA, a 2SV é um processo distinto e mais fraco. Exige duas etapas de verificação, mas pode usar dois fatores da mesma categoria. Um exemplo comum é uma senha seguida de uma pergunta de segurança, sendo ambos fatores de "conhecimento". Embora seja melhor que a SFA, não cumpre os critérios para uma verdadeira segurança multifator.

• Autenticação multifator (MFA): O padrão-ouro de segurança, a MFA exige a verificação de pelo menos duas categorias diferentes de fatores de autenticação. As três categorias principais são:

  • Conhecimento: Algo que o utilizador conhece (por ex., uma senha, um PIN).

  • Posse: Algo que o utilizador tem (por ex., um telemóvel que recebe um código, uma chave de segurança de hardware).

  • Inerência: Algo que o utilizador é (por ex., uma impressão digital, reconhecimento facial).

2.2 Por que as obrigatoriedades mudam tudo#

A transição de uma MFA opcional para obrigatória é uma mudança de paradigma. Um sistema opcional permite a adoção gradual pelos utilizadores mais preocupados com a segurança, ocultando os verdadeiros pontos de atrito. Uma obrigatoriedade força toda a base de utilizadores, dos mais conhecedores de tecnologia aos mais avessos, a adotar o novo sistema simultaneamente, expondo todas as falhas na experiência do utilizador e na estrutura de suporte.

Esta mudança tem sido acelerada por catalisadores regulamentares em todo o mundo. Destaca-se a segunda Diretiva de Serviços de Pagamento da Europa (PSD2) e a sua exigência de Autenticação Forte do Cliente (SCA), que reformulou fundamentalmente o panorama europeu de pagamentos ao tornar a MFA obrigatória para a maioria das transações online. Ao obrigar as instituições financeiras a adotarem APIs abertas e segurança reforçada, a PSD2 proporciona um grande caso de estudo no mundo real em termos de autenticação imposta.

O principal objetivo da SCA era reduzir a fraude, exigindo dois fatores de autenticação independentes para pagamentos eletrónicos. No entanto, a implementação inicial criou um atrito significativo, com alguns comerciantes europeus a perderem quase 40 % das transações devido à confusão dos utilizadores e ao abandono de carrinhos de compras. Com o tempo, o ecossistema adaptou-se, e um relatório de agosto de 2024 do Banco Central Europeu confirmou que as transações autenticadas por SCA têm agora taxas de fraude significativamente mais baixas. Isto demonstra o benefício de segurança a longo prazo, mas também destaca a necessidade crítica de equilibrar a segurança com a experiência do utilizador.

Uma dinâmica regulamentar semelhante está a desenvolver-se a nível mundial. Na Austrália, o setor financeiro opera sob o quadro CPS 234 da Autoridade Australiana de Regulação Prudencial (APRA), que estabelece normas de segurança para as instituições financeiras. Após uma onda de ataques de credential stuffing no início de 2025, a APRA escreveu a todos os conselhos de fundos de pensões (superannuation), expressando explicitamente a expectativa de que implementassem a MFA ou proteções equivalentes para atividades de alto risco. O regulador observou que aproximadamente 20 % dos incidentes cibernéticos no setor financeiro australiano foram ataques de credential stuffing, tornando a MFA um controlo crítico. Separadamente, o setor das telecomunicações australiano enfrenta a MFA obrigatória para todas as transações de clientes de alto risco sob a Determinação de Autenticação de Identidade de Cliente de 2022 da Autoridade Australiana de Comunicações e Média (ACMA). Esta regra exige que as operadoras utilizem MFA para trocas de cartão SIM, redefinições de senha e adições de serviços após casos de grande repercussão de fraude por SIM-swapping.

Embora estas exigências inicialmente criem atrito, também geram um ambiente de educação em massa involuntária. Quando milhões de utilizadores são forçados pelos seus bancos a aprovar uma transição com uma impressão digital ou um código, ficam familiarizados com o conceito de um segundo fator. Esta normalização, impulsionada pela regulamentação, paradoxalmente abre caminho para outras organizações. A conversa pode evoluir de "O que é a MFA e por que preciso dela?" para "Aqui está a nossa nova forma, mais fácil, de realizar o passo de segurança que já conhece." Isto cria a base perfeita para introduzir uma experiência superior como as chaves de acesso.

Se quiser ler mais sobre os pormenores desta regulamentação e a sua relação com as chaves de acesso, pode explorar estes recursos:

• Análise dos requisitos da PSD2 e da SCA

• O que os requisitos da SCA significam para as chaves de acesso

• Chaves de acesso na PSD2: MFA resistente a phishing em conformidade com a PSD2

• Implicações da SD3 / PSR para as chaves de acesso

• Autenticação delegada e chaves de acesso no âmbito da PSD3 / PSR

2.3 Quando as violações de segurança forçam a ação: Exigências pós-incidente#

Enquanto os quadros regulamentares impulsionam a adoção proativa da MFA, os incidentes de segurança desencadeiam frequentemente exigências mais urgentes e visíveis. Quando uma organização sofre uma violação, o caminho para a MFA obrigatória torna-se, não uma questão de planeamento de conformidade, mas sim uma resposta imediata a crises.

O setor dos fundos de pensões australiano experienciou isso em termos marcantes em março de 2025. Numa sofisticada campanha de credential stuffing, os cibercriminosos utilizaram combinações de nome de utilizador e senha roubadas em violações externas para atacar sistematicamente as contas dos fundos de reforma. De acordo com relatos da Reuters e da ABC News, a AustralianSuper, o maior fundo do país, com mais de 3 milhões de membros, confirmou que os atacantes acederam a até 600 contas de membros e drenaram com sucesso 500 000 dólares australianos dos saldos de quatro membros antes que o ataque fosse detetado. O incidente alastrou-se por vários fundos, com a Rest Super a detetar atividades suspeitas em aproximadamente 20 000 contas e a Insignia Financial a relatar tentativas em cerca de 100 contas.

O vetor de ataque foi um credential stuffing clássico: tentativas automatizadas de login usando credenciais recolhidas de violações de dados não relacionadas. Os especialistas de segurança entrevistados pela ABC News caracterizaram o ataque como "pouco sofisticado", observando que o seu sucesso se deveu inteiramente à ausência de MFA. Num contraste marcante, o HostPlus, outro grande fundo, não reportou perdas financeiras devido à mesma campanha, especificamente porque já tinha implementado MFA para as contas dos membros. Esta comparação no mundo real forneceu provas inequívocas do valor de proteção da MFA.

Antes da violação, os clientes da AustralianSuper tinham solicitado explicitamente a MFA como opção de segurança, mas foram informados de que não estava disponível. Após o incidente, o fundo bloqueou imediatamente as contas afetadas e acelerou a implementação da MFA. A posterior carta da APRA enviada a todos os conselhos de administração dos fundos tornou clara a expectativa regulamentar: implementar a MFA passou a ser uma obrigação urgente e não uma consideração para o futuro.

As exigências pós-violação surgem igualmente de campanhas de phishing que comprometem credenciais organizacionais. Em março de 2020, o Service NSW, um portal de serviços governamentais estatais, sofreu um ataque de phishing que expôs 736 GB de dados, comprometendo informações pessoais de cerca de 103 000 clientes. Os investigadores identificaram a ausência de MFA nas contas de e-mail do pessoal como um dos principais fatores que contribuíram para a gravidade da violação. Em resposta, o Service NSW implementou a MFA em todos os sistemas de e-mail externos e, em agosto de 2021, ativou-a em 95 % dos sistemas externos, com o apoio de um investimento em segurança de 5 milhões de dólares australianos. Na sequência da violação de dados da empresa de telecomunicações Optus em 2022, o Service NSW expandiu ainda mais os seus esforços, testando e depois impondo a MFA para todos os titulares de contas MyServiceNSW até 2026.

Estes incidentes ilustram um padrão crítico: as violações criam pressão política e operacional que contorna os ciclos graduais de planeamento típicos de uma conformidade proativa. A questão passa de "Devemos impor a MFA?" para "Com que rapidez a podemos implementar?". Este cronograma comprimido agrava muitas vezes os desafios operacionais e a experiência do utilizador discutidos mais adiante neste artigo, tornando a escolha do método de MFA e a conceção da sua introdução ainda mais determinantes.

3. As complexidades ocultas: O que significa impor a MFA na prática#

A aplicação da MFA em toda uma base de utilizadores revela uma série de desafios práticos que são frequentemente subestimados durante o planeamento inicial. Estes problemas afetam a experiência do utilizador, a postura de segurança e os custos operacionais.

3.1 O obstáculo do processo de integração: Inscrição em grande escala#

Quando a inscrição é obrigatória, uma má experiência de utilizador já não é apenas um aborrecimento; torna-se um obstáculo direto às operações comerciais. Normalmente, as organizações escolhem entre duas estratégias: a inscrição forçada, que exige a configuração da MFA no login seguinte, ou a inscrição progressiva, que solicita os utilizadores ao longo do tempo. Embora a inscrição forçada consiga atingir a conformidade mais rapidamente, corre o risco de uma maior frustração e desistência por parte dos utilizadores, caso o processo não seja contínuo. O sucesso depende da adesão às melhores práticas de UX, tais como oferecer vários métodos de autenticação, fornecer instruções perfeitamente claras e garantir a acessibilidade de todos os utilizadores, por exemplo, fornecendo uma chave secreta baseada em texto em vez de um código QR para aplicações autenticadoras.

3.2 O pesadelo da recuperação: O novo problema de suporte número 1#

Quando a MFA se encontra ativa numa conta, a perda de um segundo fator significa o bloqueio total. Num mundo de obrigatoriedade, não se trata de um incidente isolado de alguns utilizadores preocupados com a segurança; torna-se um desafio crítico e generalizado para toda a base de utilizadores e para as equipas de suporte. A recuperação de contas é, portanto, o maior desafio.

As apostas financeiras são altas: uma única redefinição de senha ou de MFA mediada por uma equipa de suporte técnico pode custar à empresa uma média de 70 dólares americanos. Para uma organização com centenas de milhares de utilizadores, mesmo que uma pequena percentagem precise de recuperação, o resultado podem ser milhões de dólares em custos operacionais e em perdas de produtividade.

As organizações encontram-se perante um difícil compromisso entre segurança, custos e conveniência:

• Recuperação mediada pela equipa de suporte técnico: Um agente de suporte pode verificar a identidade do utilizador através de uma videochamada ou de outros meios. Este é um processo seguro, verificado por humanos, mas que é muito dispendioso e difícil de implementar em grande escala, o que o torna insustentável para a maioria das empresas.

• Recuperação por e-mail/SMS: Este é o método mais comum, devido ao seu baixo custo e à familiaridade do utilizador. Contudo, é também uma vulnerabilidade crítica de segurança. Se um atacante já tiver comprometido a conta de e-mail de um utilizador, um precursor comum a outros ataques, poderá facilmente intercetar o código de recuperação e evitar por completo a MFA. Na prática, este método anula os benefícios de segurança para os quais a imposição foi concebida.

• Códigos de segurança pré-registados: São fornecidos aos utilizadores um conjunto de códigos de segurança de utilização única durante a inscrição. Embora esta abordagem seja mais segura do que a recuperação por e-mail, acrescenta atritos à configuração inicial. Além disso, os utilizadores não guardam frequentemente estes códigos em segurança ou perdem-nos, conduzindo-os de volta ao mesmo problema de bloqueio.

• Verificação por selfie/documento de identificação: Este método de alta segurança exige que o utilizador tire uma selfie ao vivo, bem como uma fotografia de um documento de identificação emitido pelo governo (como a carta de condução ou o passaporte). Os sistemas de IA fazem em seguida corresponder o rosto ao documento de identificação para confirmar a identidade. Embora comum na banca e nos serviços financeiros, onde a identidade é verificada durante a integração, suscita preocupações em relação à privacidade por parte de alguns utilizadores e exige que tenham consigo o seu documento de identificação físico.

• Credenciais e carteiras digitais: Uma opção emergente e focada no futuro envolve a utilização de credenciais digitais verificáveis guardadas numa carteira digital. O utilizador pode apresentar uma credencial de um emissor de confiança (como o governo ou um banco) para comprovar a sua identidade, sem ter de passar por um fluxo de recuperação específico de um serviço. Este método encontra-se ainda numa fase inicial, mas aponta para um futuro em que a verificação da identidade seja mais portátil e controlada pelo utilizador.

3.3 O problema do ciclo de vida dos dispositivos: Novos telemóveis, perda de acesso#

Um ponto de falha frequente e crítico em qualquer sistema de MFA é o ciclo de vida dos dispositivos. Quando um utilizador adquire um novo telefone, a continuidade do seu método de autenticação é fundamental.

• SMS: Este método é relativamente portátil, uma vez que um número de telefone pode ser transferido para um novo dispositivo através de um novo cartão SIM. No entanto, este mesmo processo é o vetor de ataque explorado em ataques de SIM-swapping, onde um criminoso convence a operadora móvel a transferir o número da vítima para um cartão SIM por si controlado.

• Aplicações autenticadoras (TOTP): Esta é uma das principais fontes de atrito dos utilizadores. A não ser que o utilizador tenha ativado proativamente uma funcionalidade de salvaguarda na cloud (backup) na sua aplicação autenticadora (uma funcionalidade que não é universal nem utilizada por defeito), as chaves secretas que geram os códigos perdem-se juntamente com o dispositivo antigo. Isso obriga o utilizador a recorrer a um processo completo, e muitas vezes penoso, de recuperação de conta para todos os serviços que tiverem sido assegurados.

• Notificações push: Da mesma forma que nas aplicações TOTP, a MFA baseada em notificações push está ligada à instalação de uma aplicação específica num dispositivo registado. Um telemóvel novo exige uma nova inscrição, provocando os mesmos problemas de recuperação.

3.4 O paradoxo das preferências do utilizador: O caminho de menor resistência#

Quando uma organização obriga ao uso de MFA e permite a escolha de métodos, emerge um padrão previsível: mais de 95 % dos utilizadores inclinam-se para aquilo que lhes é mais familiar e considerado como mais fácil, que consiste geralmente em códigos de acesso únicos (OTP) através de SMS. Este comportamento cria um paradoxo. O CISO pode impor a MFA para melhorar a segurança, mas se muitos utilizadores continuarem a confiar num método passível de ser alvo de phishing, como o SMS, a organização pode alcançar os 100 % de conformidade sem que isso melhore significativamente a sua defesa perante os ataques complexos.

As violações dos fundos de pensões na Austrália, ocorridas em março de 2025, forneceram provas evidentes e concretas deste problema. Nesse incidente, a ausência de MFA constituiu a vulnerabilidade decisiva. No entanto, a lição a retirar vai além da simples opção de "MFA ou sem MFA" relativamente à qualidade da MFA instalada. As organizações que disponham apenas de uma MFA assente em SMS, na sua qualidade de opção primária ou exclusiva, continuam vulneráveis ao phishing, à engenharia social e aos ataques de SIM-swapping. Os atacantes do caso australiano tiraram partido de credenciais fracas. Caso essas contas tivessem sido "protegidas" apenas com OTP através de SMS, os atacantes com acesso a contas de e-mail comprometidas poderiam potencialmente ter intercetado fluxos de reposição de senhas e desencadeado o SIM-swapping para assim também ultrapassarem esse fator.

No reconhecimento desse facto, as plataformas tais como a Microsoft apresentaram o "sistema MFA preferencial", que direciona ativamente os utilizadores para o lado das opções mais seguras, como as aplicações autenticadoras em vez das mensagens SMS e chamadas de voz. A imposição pura e simples de uma MFA é insuficiente, segundo salienta esta importante lição. O tipo de MFA é profundamente importante, e as organizações têm de afastar ativamente os utilizadores de fatores mais fracos, passíveis de phishing.

3.5 O custo operacional: O suporte técnico sob cerco#

A decisão de tornar a MFA obrigatória tem um impacto direto e quantificável nos recursos operacionais. Provoca de forma inevitável um pico de pedidos de assistência técnica (tickets) associados a problemas de registo, perda de autenticadores e solicitações de recuperação. Estudos elaborados pelo Gartner indicam que entre 30 e 50 % de todas as solicitações de assistência técnica prendem-se com questões relacionadas com palavras-passe, pelo que a adoção de uma MFA obrigatória, nomeadamente em conjugação com fluxos de recuperação complicados, acentua sobremaneira esse peso. Esta situação traduz-se em custos diretos que deverão ser previstos pelos CTOs e gestores de projetos. Mais além, também a própria assistência técnica se converte numa meta primária da engenharia social: os atacantes disfarçam-se de utilizadores impedidos de aceder à conta (locked-out) e frustrados com a finalidade de iludir as equipas de apoio e as levarem a reiniciar a MFA a seu favor.

4. Lições fundamentais das imposições da MFA em grande escala#

A observação das implementações em massa da MFA obrigatória oferece as lições indispensáveis sobre o que funciona de facto e os aspetos geradores de maiores atritos. A análise da experiência desde os lançamentos da conformidade normativa preventiva como a europeia PSD2 (Segunda Diretiva de Serviços de Pagamento) às obrigações decorrentes de violações informáticas na indústria financeira australiana permite extrair variadas conclusões absolutas.

• O atrito inicial é inevitável, mas gerível: A implementação da SCA europeia demonstrou que a imposição de uma mudança de fundo no comportamento dos utilizadores, ainda que visando a segurança, acabará por prejudicar as taxas de conversão no primeiro momento. Provou, contudo, que os efeitos desfavoráveis podem ser atenuados com o decorrer do tempo pelo afinamento dos processos e adaptação dos utilizadores. A solução reside em antever esse atrito e estabelecer os contornos os mais simplificados e amistosos ao nível dos utilizadores desde a primeira conceção.

• A escolha do utilizador é uma faca de dois gumes: Sempre que têm à sua disposição opções, os utilizadores adotam sistematicamente o procedimento com menor resistência, significando isto, em grande medida, a seleção de soluções reconhecidas e mais deficientes na MFA, ao exemplo dos SMS. Origina o chamado cenário "teatro de conformidade" através do qual a entidade cumpre a conformidade de modo apenas literal, encontrando-se a par com a norma, ignorando o princípio desta e permanecendo vulnerável a perigos de usurpação de identidade virtual (phishing). As invasões do fundo australiano das pensões, em março de 2025, expuseram esse pressuposto pelo lado oposto: ao ignorar a implementação da MFA, as entidades incorreram em amplas perdas, e as equipadas pela rudimentar MFA, qual HostPlus, evadiram-se do roubo económico. A lição não finda por aí. Os esquemas rudimentares assentes nexclusivamente em SMS permanecem expostos a intrusos apostados que detêm capacidades ao nível de mudança das titularidades nos números, denominadas SIM swaps, ou as artimanhas psicológicas para obtenção (engenharia social). Para assegurar a proficiência da sua estratégia, tem a responsabilidade conduzir os clientes sem passividade pelo uso da opção solidificada e livre destas infiltrações e usurpações.

• A recuperação torna-se o calcanhar de Aquiles: Num ambiente restrito por imposições obrigatórias, a recuperação transfigura-se num flagelo à segurança e ao controlo de custos: de condição não recorrente muda para ónus fundamental no centro operacional e na debilidade crítica do foro seguro. Utilizar via telefónica/email subverte todo o perfil, ao passo que a reposição assegurada e orientada por agentes na linha telefónica encerra-se numa insustentabilidade a título orçamental. Uma recuperação dotada na acessibilidade ao público, forte e de robustez irrepreensível descarta o desinteresse a que muitos relegam: configura requisito essencial para sucesso nos resultados perante essas mesmas exações.

• Mandatos pós-violação comprimem prazos e ampliam os riscos: Os casos ativados com a quebra e não através do projeto planeado visando a conformidade encurtam significativamente a escala da aplicação. A secção de alocação de planos financeiros da velhice no continente de origem oceânica deslocou dos meros rogos pelas exigências em torno destas por intermédio dos cidadãos - para exigências aplicadas pelos agentes fiscais nos espaços breves das semanas face a infração sucedida. Estes marcos limitados minimizam tempos ao exame, execuções intervaladas, a par das perfeições de progressos e reforçam assim, numa maior grau de gravidade, toda a seleção relativa às engenharias em paralelo do desenho funcional pelo qual perpassarão estes utentes e interessados. Corporações prementes de prevenção têm nos planeamentos regrados o regalo não obtidos a que foram forçados pela ocorrência superveniente.

• As implementações graduais atenuam de forma extrema o perigo: Ensaiar um método do tudo num arranco generalizado com impacto alargado à massa das bases perfaz esquema demasiado arriscado. Para proceder a tática acertada a comprovar pelo sector em redor dos complexos coorporativos em dimensão alta deve efetivar num modelo balizado, onde o teste por menorções nos ajuntamentos sem prioridades centrais seja ensaiado e se resolva como laboratório perante as falhas/problemas de programação (bugs), ao acerto progressivo pela usabilidade do lado utilizadores, e colete respostas em torno do controlo gerado antecedendo na inteireza generalizado e não fracionado dos lançamentos de plano generalizado.

• Uma plataforma de identidade centralizada é um potente ativador: Corporações onde preexista uma Gestão de Acessos e de Identidades num plano concêntrico (IAM - Identity and Access Management) conjuntamente perpassadas nos Log-on unívocos ou autenticações singulares estão dispostos favoravelmente pela passagem ligeira num modo brando ao uso desse novo padrão introduzido. Esse modelo matriz para toda identidade confere fluidez veloz por normativas com padronização no conjunto que espalhem normas e práticas por largos somatórios perfeitamente contados de software ou aplicativos à medida de dezenas/centenas ou num patamar milhar de vezes, cortando na redução pesada perante os pormenores elaborados à luz do preço que acompanhe esse desígnio (projetos).

5. O próximo passo inevitável: Porque é que as chaves de acesso resolvem o problema do mandato#

As chaves de acesso, baseadas no padrão WebAuthn da FIDO Alliance, não são apenas uma melhoria incremental em relação ao MFA tradicional. A sua arquitetura subjacente, baseada em criptografia de chave pública, foi criada para resolver os problemas mais dolorosos e persistentes originados pela obrigatoriedade do MFA.

• Resolução do pesadelo da recuperação: O maior desafio da MFA obrigatória é a recuperação de contas. As chaves de acesso abordam esta questão de forma direta. Uma chave de acesso é uma credencial criptográfica que pode ser sincronizada em todos os dispositivos de um utilizador, através do seu ecossistema (como o iCloud Keychain da Apple ou o Google Password Manager). Se um utilizador perder o telemóvel, a chave de acesso continua disponível no seu portátil ou tablet. Isso reduz drasticamente a frequência de bloqueios e diminui a dependência de canais de recuperação pouco seguros, como os e-mails, ou as dispendiosas intervenções dos serviços de apoio ao cliente (helpdesk).

• Resolução do problema do ciclo de vida do dispositivo: Visto que as chaves de acesso são sincronizadas, a experiência de obter um novo dispositivo passa de um ponto de grande atrito a uma transição harmoniosa. Quando um utilizador inicia a sessão na sua conta Google ou Apple através de um novo telemóvel, as suas chaves de acesso são restauradas e ficam prontas a utilizar de forma automática. Isto elimina o doloroso processo de voltar a registar uma nova conta, aplicação a aplicação, que era exigido pelos tradicionais dispositivos autenticadores limitados ao dispositivo.

• A resolução do paradoxo da preferência do utilizador: As chaves de acesso resolvem a clássica cedência entre a segurança e o conforto. O método de autenticação mais seguro existente, a criptografia da chave pública com resistência ao phishing, é igualmente o meio mais rápido e simples do utilizador adotar. Basta um simples movimento biométrico ou código PIN do aparelho para a leitura. Deixa de haver motivo para optar por sistemas fracos e menos invulneráveis, porquanto este se torna a alternativa reforçada bem como muito mais cómoda.

• Resolução da vulnerabilidade a esquemas de phishing: As chaves de acesso, dadas a suas configurações de desenho e modelo concecional, resistem ao phishing. Nos pares criptográficos efetuados na altura em que se efetiva o registo a identificação e o vínculo incidem perante e para com a origem determinada originariamente onde tem assento esse site e interface específica (tal exemplificando e em uso perante domínios concretos : "corbado.com". Torna a impossibilidade como meio a artimanhas para utilizá-los numa plataforma apócrifa para as quais a fisionomia seja enganadora que faça recurso de domínios iludidos e embusteiros exemplificativos da ordem "corbado.scam.com", atenta ao pressuposto no impedimento onde as condições próprias ao nível operacional via o sistema da máquina conjuntamente bloqueadas por verificação dos dados via uso do navegador por discrepância pela fonte recusam atuar prosseguindo e confirmando as premissas desse log-in/autenticação. O patamar atingido atinge por conseguinte a matriz assegurada, para cujos cenários os processos vinculados partilhadamente do sigilo das palavra-passes e OTP desprovidos no total dessa blindagem pela segurança, os descartam à desproteção.

• Resolução da fadiga do MFA: Uma simples ação do utilizador, como verificar o Face ID ou usar o sensor de impressão digital, atesta, ao mesmo tempo, a titularidade sobre as chaves de codificação pelo modelo do utilizador dispor sob sua propriedade de hardware físico ou seja "o que têm" perante o critério da identificação através da biométrica inerente no "algo a que é ". Parece um gesto singular simplificado a qualquer olhar menos esclarecido de um leitor (utentes/utilizadores), todavia nas vias da certificação criptográfica validam as exigências que recaem obrigatoriamente neste sector da pluridimensão para o crivo do perfil (MFA ou multifatoriais na certificação). Esta facilidade vai assim satisfazer na integralidade a observância ao regulamento rígido nos normativos previstos por isenção noutras tarefas das quais e pesadas, do modelo retrógrado, na imposição acrescem de acréscimos e fatigas pelos seus procedimentos de rotinas excessivamente massudos em esforço cerebral perante processos em fase anterior nos usos antiquados do MFA.

6. O pivô estratégico: Um plano para a transição para chaves de acesso obrigatórias#

A transição do MFA obsoleto para uma estratégia orientada em primeiro lugar por chaves de acesso exige um modelo e uma política que siga metodologias devidas, numa estrutura segmentada que abordem as prioridades de âmbito cibernético, com impacto à área funcional a um dado grupo da população/público associada aos respetivos intuitos comerciais/de proveito.

6.1 Passo 1: Avaliar a disponibilidade dos equipamentos#

Até à obrigação que venha sobre e no modelo dos modelos assentes pela base destas referidas "chaves em questão", imperativo reside que apure se no sector do qual detêm público visado se acha dotado nos dispositivos para a aplicação tecnológica e se aptam em poder recorrer à utilização das presentes formas de acesso. Avaliar este campo de forma objetiva antecipadamente em toda a plenitude impõem-se numa vertente essencial visando a noção sobre o cabimento a uma prospeção pela linha do tempo (timeline/planeamento de tempos) no seu progresso prático durante o processo nos testes das divulgações.

• Analise a paisagem do seu dispositivo: Faça recurso via mecanismos para métricas do panorama "web" que disponha ao uso imediato visando coligir e recolher todas métricas respeitantes dos meios envolventes como o S.O (sistemas em ambiente da dimensão Operativa, que englobem nas divisões o iOS, por parte Android e sem olvidar o Windows versão a versão), complementando simultaneamente pelo leque em opção dos browseres dos mesmos.

• Disponibilize de uma ferramenta capaz à prontidão destas chaves-mestres: Na perseguição sobre averiguação e estatística analítica nos pormenores da maior exatidão as informações mais profícuas provêem desta estrutura expedita via meios simplificados perante este tema o que confere a vertente no plano de avaliação "State of Passkeys" ( Estado de prontidão das chaves ); possibilita relatórios estatísticos visando por amostragem das quantificações pelos totais percentuais em matéria a utentes onde neles seja perfeitamente validada as conformidades por autenticações enraizadas/intrínsecas pelos aparelhos com apoio pela dimensão platafórmica que os suporta e que sustentam opções variadas nomeando a par exemplos face ao modelo do ecrã e ao dedo o Windows em modalidade ("Windows Hello" e nos reconhecimentos das impressões face ID bem com pela funcionalidade "touch"; na junção de acréscimos cruciais perante e perante os UX onde as melhorias nos aspetos perante UI designados de base de condição originam autopreenchimento à chave referida. E os proventos destes dados baseiam-se essenciais de suporte no levantamento sobre o grau dos modelamentos baseados pela conformação à base aplicativa aos graus viáveis da adoção.)

6.2 Passo 2: Crie uma arquitetura baseada numa solução híbrida e com opção de salvaguarda#

As mudanças tendentes a converter pelos sistemas fundamentados nas enunciações que compõem estas matrizes das chaves assentar-se-á com progressividade lenta sem o imediatismo das conversões repentinas de picos e mudanças à pressa, exigindo contornos do sucesso as opções por políticas mescladas nas adoções cujas referências que priorizem no lugar destacado o recurso deste fator primordial. Em acréscimo paralelo dotando vias de resgate resguardados pela segurança dos clientes face na indisponibilidade do acesso em telefones à sua condição (não compatibilidade dos S.O), do mesmo ou similar para as adesões ainda ao estado retardatário.

• Escolha o estilo de integração:

  • Identificação como premissa: Na etapa primordial caberá indiciar endereço na conta de suporte a mensagens na internet, apelido pela vertente perfil - em segunda ordem da vertente mecânica dos aparelhos por verificação aos apelos cruzam se perante na base das contas existam e foram devidamente preenchidas/validadas em registo à referida ferramenta da "passkey"; nesse encadear inicia ao fluxo normal num acesso regular neste desígnio ao "Log In Passkey". Onde pela contrariedade sem registo anterior transacionar se farão por vias invisíveis às reposições pelos processos via e à password, por outro trâmite qualquer assegurado. Estas lógicas nas conceções geradoras oferecem num primor pelas virtudes e em patamares excelentes dos perfis a todo este espetro da acessibilidade. Acumulativamente atingindo taxas superlativas na dimensão com maior alcance nos níveis em índices/nível da adoção de quem os testa ou os têm em prática/emprego/aplicações contínuos.)

  • Botões específicos perante à chave referida: De presença à formulação no quadrante para formulário que confere nos "Log-ins" ao clássico adenda dos perfis clássico e vulgar onde visam as inscrições sob o clique em "Ligue e adira pela chave." Embora dotada na aplicabilidade de um rigor ligeiro, alija responsabilidades nos quadros orientadores perante ao consumidor nas direções e tomadas em assumir das diligências do modelo em opção: as derivas e opções podem perfeitamente gerar níveis aquém pelas fracas ou baixas médias de utilidades.

• Assegure uma alternativa de recurso com segurança: No esquema onde e no qual sejam necessários processos que resgatem ou invertam pelo percurso no modelo alternativo sem se tornarem eles desastrosamente os contornos de aberturas de fragilidades face a todos desígnios para com segurança estipulados de base pela instituição. Prevenindo o recuo, pelas opções onde se situem nas fracas formas inseguras como base nos OTP de vias telefónicas via serviço de breves textos (SMS); depondo sim nos esquemas nos de segurança onde nas opções os meios se sirvam à condição nos códigos aos quais sejam restritivos nas variáveis da duração da "vida", das utilizações pontuais /singulares/efémeras e os enlaces /links milagrosos aos e-mails atestados via processo confirmados perante ao consumidor, desempenhando este fator da condição via presencialidade momentânea/ "estar na e de posse sobre" em períodos e durações na "secções").

6.3 Passo 3: Elaborar um plano educativo e de implantação centrado no utilizador#

A eficácia da comunicação constitui pressuposto principal se intenciona um progresso calmo da implantação. Este desígnio tem o propósito da perspetiva que torne a "Passkey" que os clientes e a visão coletiva lhes seja ausente na vertente à de uma restrição pela esfera de restrições em proteção (e por contrariedades nos acessos), alterando a tónica na evolução significativa ao longo processo perante das exigências por utilizabilidade, traduzida aos clientes/utentes por benefício notório dos acessos às aplicações/softwares pela comodidade e pela celeridade (up-grade aos UX).

• O modelo em foco pelas mensagens perante as benesses/os prós: Optem em aplicar aos moldes de redação em estilos transparentes num simples apelo focado que remeta pelas comodidades a usufruir perante à adoção de base. Utilizando: "Acesse veloz numa forma em plena por salvaguarda" , à semelhança num registo por exemplo "Esqueça do olvido com referências na memoria em falência com a reposições e falhas da senhas em esquecimento.", noutro sentido do alcance numa tónica onde aludem com as frases "Os vossos digitais nos dedos em matriz servem se agora como matriz de chaves". De modo assíduo adote os logotipos via consórcio FIDO sobre esta imagem gráfica pelas insígnias das "PassKeys" pelo acumular pela difusão via imagem pela retenção/gravação ao cérebro pelos consumos de rotinas diárias/frequências pela generalizações face a massas em público em sentido global de generalidades).

• Estratégias para lançamentos em fase intermédia:

  1. Adote nos inícios em prole por ações pelo lado interessado via adoções "pull": No primeiro relance preste por facultar disposições nestas formatações pelas opções de inscrição em configurações no Painel onde e à vista lhes sirvam pela definição dos menus nas Conta. Conferirão com flexibilidades às adesões que venham em adesão antecipada ou à comunidade tecnológica de perfil adiantado onde no percurso natural ao "Opt-in" ocorram as aproximações por vias da normalidade ao invés no rompimento ou estorvos da normal e constante dinâmica que ao resto se verificava.

  2. Deslocar a perspetiva perante na promoção direta das ações a "Push": Assim na medida onde o estado geral verifique robustez dos recursos passe pelas vias à proatividades sobre avisos diretos aos utilizadores pela imediata indicação de instâncias ativadoras para inscrições pela "chave" no exato decurso pelas finalizações normais pelos meios à das palavra-passes vetustas em que entraram no processo dos seus logons (isto apreende-os quando perfeitamente localizados mentalmente no percurso pelas etapas, onde situam as sua mentais posições de disposição em molduras nos âmbitos das aprovações/"identificação dos utentes - Log ons") .

  3. Insira por último à integração aquando nas aderências dos "novatos/novos": Torne no fim do trâmite pela vertente numa proposição primária perante inscrições de raiz para com e num âmbito de utilizador em primeira etapa de entrada - num conselho pelas "chaves de acesso").

6.4 Passo 4: Monitorizar, medir e interagir#

Toda a política assentando sob vetores dirigidos por informações quantificadas ou baseadas em estáticas por recolhas sobre indicadores analíticos serve aos fins inestimáveis validando os orçamentos, investimentos aportados nestas e nesta referida passkey no plano da melhor adaptação contínua da dimensão experimental/de base/da interface (UX/CX). Em paralelo equipas e divisões a que por dever as alocuções nos respetivos desempenhos incidam monitorizações com acompanhamento a dados em sintonia para cada função que ocupam na coorporativa/organização .

• Sobre indicadores quantificadores na ótica dos resultados em vertentes de adesão-interação:

  • O coeficiente sobre criatividade pela via passkey (Passkey creation Rate): Pela expressão quantificável a percentuais por entre os capacitados nos domínios sobre elegibilidades em criação dessa referida nova credencial (chave em referimento - Passkey).

  • As vertentes relativas da aplicação (Passkey use rate): Nos cálculos métricos por percentagens em redor pelo peso representativo, pelo apuramento à vertente passkey face/no conjunto ou balanço global dos Logins.

  • O ritmo temporal pelas metas para chaves-mestres e a celeridades das decisões para ação em novas adoções ("Time -To-First Key Action): À avaliação em tempos dos "principiantes/novatos" à celeridade aquando da execução por e de uma crucialidade extrema (tarefas primordiais nos processos do percurso e adoções nas "passkeys"); na sua prontidão perante atuações perante de implementações à adoção destas novidade das referenciadas credenciais em causa (chaves em acesso).

• Ao nível sobre dimensões em cariz corporativo pelos focos quantificados às variáveis em domínios comerciais e funcionais operacionais:

  • Contração pelas incidência no pedido/tickets via balcão do Help Desk pelos reparos perante perdas das e esquecimentos por palavras - passe: Em vias às apurações dos cálculos de reduções, decréscimos em valores orçamentais reais perante assistência via telefonistas na supressão nas queixas para esse serviço ou linha de reabilitação a senhas em lapsos ou em perdidos das memoria por clientes esquecidos.

  • Contração em decréscimos em gastos pelas mensagens - SMS OTPs Cost : Com as evidências perante ganhos efetivamente constatados que no âmbito poupança representam o cortar pela via erradicação perante fatores por despesas em uso no passado e por uso legados aos "antigamente" e em arcaicos processos e vetustas em processos nas confirmações.

  • As aprovações vitoriosas de taxa dos logons: Aos comparativos pelas taxa obtida em balanços através vias às "passkey" ( chaves), contrastando em taxas perante aos resultados das palavra-passe / senhas, na paridade pela sua adoção em simultâneo através métodos da via em autenticação do sistema do MFA ou da senha / palavra-chave vulgares (password)).

  • Contração dos indicadores do sequestro para apropriação/subtração e furto à Conta(Account - Take over): Numa definitiva via ou balizas pela ponderação avaliativa derradeira face, do quanto da avaliação, à da aplicabilidade funcional do vetor pela da fiabilidade das métricas na segurança no sistema face/contra usurpações à titularidades/perfil de um utente por alheios/intrusos ou bandidos.

Os quadros apresentados a seguir resumem detalhadamente perante ao sumário ou balanço comparando nos modos perante as vias e formas e esquemas associadas ao sector pelo ramo das enunciações aos processo autenticativos/identificatórios e as metodologias associadas mapeadas e alocados nas lógicas sobre a passkey/ "chave de acessos", num caminho direito as contradições dos modelos de percalços/pontos nevrálgicos aos aborrecimentos diários vulgares do negócio ao nível base à empresa.

Como as passkeys fornecem soluções para os pontos fracos da MFA obrigatória

Conclusão: Transformar a conformidade numa vantagem competitiva#

A era da Autenticação Multifator obrigatória veio para ficar. Embora tenham nascido da necessidade crítica de defesa contra ataques baseados em credenciais, estas imposições criaram inadvertidamente um novo panorama de desafios.

Vimos que a imposição de MFA introduz pesados fardos operacionais, desde os custos diretos das taxas de SMS até ao aumento dos tickets de suporte técnico de utilizadores com dificuldades de registo e mudanças de dispositivos. Aprendemos que, quando lhes é dada a possibilidade de escolha, os utilizadores tendem a preferir métodos familiares mas suscetíveis a phishing, como o SMS, alcançando a conformidade no papel, mas deixando a organização exposta a ataques no mundo real. E, mais importante ainda, estabelecemos que, num mundo onde as regras são ditadas pelas exigências, a recuperação de contas torna-se o maior ponto único de falha, uma fonte de enorme frustração para os utilizadores e uma lacuna colossal na segurança quando não é gerida de forma adequada.

Os métodos legados de MFA não conseguem resolver estes problemas. Mas as chaves de acesso (passkeys) conseguem. Demonstrámos que as chaves de acesso são a resposta definitiva, resolvendo diretamente os problemas interligados de recuperação, atrito para o utilizador e segurança. A sua natureza sincronizada elimina a maioria dos cenários de bloqueio, a sua facilidade de utilização biométrica remove o incentivo de escolher opções mais fracas e a sua conceção criptográfica torna-as imunes a phishing. Por fim, definimos um plano claro de quatro etapas, desde a avaliação da preparação até à medição do sucesso, que fornece um caminho prático para qualquer organização concretizar esta transição estratégica.

Encarar esta mudança apenas como uma dor de cabeça a nível de conformidade é perder a oportunidade estratégica que ela apresenta. Os pioneiros da Autenticação Forte do Cliente no setor bancário europeu, apesar das dificuldades iniciais, acabaram por moldar as expectativas dos utilizadores em todo o setor. Hoje em dia, os pioneiros das chaves de acesso (passkeys) têm a mesma oportunidade. Ao abraçarem esta transição, as organizações podem transformar uma exigência de segurança de uma obrigação pesada numa vantagem competitiva poderosa e duradoura. O momento para planear a sua passagem da obrigação ao dinamismo é agora.

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →

Perguntas Frequentes#

Como é que a recuperação de contas funciona quando a MFA é obrigatória para todos os utilizadores?#

A MFA obrigatória torna a recuperação de contas o principal desafio operacional com quatro opções principais: verificação liderada pelo suporte técnico (segura mas dispendiosa), recuperação por e-mail ou SMS (barata mas passível de exploração se o e-mail estiver comprometido), códigos de backup pré-registados (frequentemente perdidos pelos utilizadores) e verificação de identidade com selfie que requer um documento de identificação emitido pelo governo. Cada opção envolve um compromisso entre segurança, custo e escalabilidade.

Por que razão é que a obrigatoriedade da MFA baseada em SMS ainda deixa as organizações vulneráveis a phishing?#

Os SMS OTPs são vulneráveis a phishing em tempo real, SIM-swapping e contorno de recuperação através de uma conta de e-mail comprometida. Mesmo com uma adesão de 100 % à MFA, depender de SMS significa que uma organização cumpre a letra de uma obrigatoriedade, mas não o seu espírito. A introdução pela Microsoft do 'sistema MFA preferencial' reconhece este problema ao encaminhar ativamente os utilizadores para apps autenticadoras em vez de SMS.

O que aconteceu durante o ataque de credential stuffing a fundos de pensões australianos em 2025 e o que isso prova sobre a MFA?#

Em março de 2025, atacantes utilizaram credenciais roubadas para aceder a até 600 contas da AustralianSuper e desviar 500 000 AUD dos saldos de quatro membros. A HostPlus, que já tinha implementado MFA, não registou perdas financeiras na mesma campanha. Posteriormente, a APRA enviou uma carta a todos os conselhos de fundos de pensões, tornando a implementação de MFA numa obrigação regulamentar urgente e não numa consideração para o futuro.

Como é que as passkeys lidam de forma diferente com a inscrição de um novo dispositivo face às apps autenticadoras TOTP?#

As passkeys são sincronizadas através de ecossistemas de plataformas como o iCloud Keychain da Apple e o Google Password Manager, restaurando-se automaticamente num novo dispositivo sem ser necessária uma reinscrição para cada serviço. As apps autenticadoras TOTP perdem todas as chaves secretas quando um dispositivo é substituído, a menos que o backup na nuvem tenha sido ativado manualmente com antecedência, fazendo com que a substituição de dispositivos seja um fator impulsionador importante de tickets de suporte e bloqueios de contas com MFA obrigatória.

Qual é a estratégia de lançamento faseada recomendada para a transição dos utilizadores de MFA legado para passkeys?#

Uma abordagem de adoção em três fases reduz o risco do lançamento. Primeiro, ofereça a criação da passkey como uma opção nas Definições de Conta para captar os pioneiros sem perturbar os fluxos existentes. Em segundo lugar, incentive os utilizadores a criarem uma passkey imediatamente após um login bem-sucedido com senha, quando estes já se encontram numa mentalidade de autenticação. Por fim, torne a criação da passkey a principal recomendação durante a integração de novos utilizadores.