As Passkeys Podem Ser Hackeadas?

Por design, as passkeys são significativamente mais seguras do que as palavras-passe tradicionais e são muito mais difíceis de hackear devido à sua natureza criptográfica. No entanto, como qualquer tecnologia, não estão totalmente imunes a certas vulnerabilidades.

---

As passkeys são construídas sobre o padrão WebAuthn e utilizam criptografia de chave pública para autenticar utilizadores sem depender de palavras-passe tradicionais. Isto torna-as inerentemente mais seguras contra ameaças comuns como phishing, credential stuffing e ataques de força bruta. Eis porque as passkeys são consideradas seguras:

• Infraestrutura de Chave Pública: As passkeys utilizam um par de chaves pública-privada, onde a chave privada nunca sai do dispositivo do utilizador, tornando quase impossível para os atacantes intercetar.

• Eliminação de Palavras-Passe: Uma vez que as passkeys não dependem de segredos partilhados (como palavras-passe), eliminam o risco de reutilização de credenciais, uma vulnerabilidade comum em sistemas baseados em palavras-passe.

• Proteção Contra Phishing: Ataques de phishing são ineficazes contra passkeys porque uma passkey está sempre ligada à origem (ID da relying party) para a qual foi criada.

• Sem Credential Stuffing: As passkeys são únicas para cada serviço e apenas a chave pública é armazenada no lado do servidor. Isso significa que, no caso de uma relying party ser comprometida, isso não tem impacto noutras relying parties.

• Sem Ataques de Força Bruta: As passkeys dependem de criptografia assimétrica e não podem ser adivinhadas, tornando-as imunes a ataques de força bruta.

• Sem Ataques Man-in-the-Middle: Ataques man-in-the-middle não são viáveis com passkeys porque a chave privada utilizada para autenticação nunca sai do dispositivo do utilizador, garantindo que nenhuma informação sensível é transmitida que possa ser intercetada ou alterada.

• SEM Ataques de Replay: Ataques de replay não são possíveis com passkeys porque cada sessão de autenticação gera um desafio criptográfico único e de uso único que não pode ser reutilizado ou replicado por um atacante.

No entanto, embora as passkeys ofereçam segurança superior, não estão totalmente imunes a hacking:

• Ataques à Cadeia de Suprimentos: Um dispositivo comprometido ao nível do fabricante poderia potencialmente ser adulterado para vazar chaves criptográficas.

• Engenharia Social: Embora o phishing seja menos eficaz, os atacantes ainda podem usar técnicas de engenharia social para enganar os utilizadores a criar passkeys para websites maliciosos.

• Roubo de Sessão: As passkeys tornam a parte de autenticação segura e simples para os utilizadores. No entanto, dependendo da implementação da relying party, a sessão ainda pode ser roubada e utilizada para fins maliciosos.

---