A Microsoft se junta à Apple e ao Google, implementando o suporte a passkeys em contas de consumidores para logins sem senha

A Microsoft implementou o suporte a senhas para contas de consumidores. As chaves de acesso são um método de login sem senha criado para evitar a invasão de contas, reduzindo ou eliminando o uso de senhas. Em vez de senhas, o reconhecimento facial, a digitalização de impressões digitais ou os números PIN são usados para fazer login nas contas.

Métodos atuais de proteção de contas on-line

As senhas de contas on-line geralmente exigem uma combinação odiosa de letras maiúsculas e minúsculas, números e símbolos que são facilmente esquecidos e tediosos de digitar, mas que podem ser roubados por hackers usando phishing, malware e outros métodos.

Uma maneira de aumentar a segurança da conta é exigir códigos PIN por texto junto com as senhas. Embora mais seguro do que uma senha isolada, os hackers ainda podem interceptar o código por meio de clonagem ilegal de SIMsIM swaps, hacks de celularese sniffing da rede celular quando o objetivo é atingir VIPs, como o presidente. Apesar disso, a maioria das contas protegidas por PIN continua mais segura.

Outra forma de aumentar a segurança da conta é usar dispositivos e softwares de dois fatores(2FA)(como este da Amazon) que geram um código exclusivo a ser inserido junto com uma senha. Enquanto o software 2FA é vulnerável a malware e clonagem, o hardware 2FA é difícil de copiar, o que o torna popular para proteger contas. Ainda assim, os hackers também descobriram maneiras de contornar a segurança da 2FA.

Senhas

O problema do esquecimento de senhas existe nos métodos acima, portanto, as senhas estão sendo promovidas por grandes empresas, como Apple, Google e Microsoft, como uma alternativa ao hardware 2FA. Os logins de senha são normalmente autenticados por reconhecimento facial, digitalização de impressões digitais ou digitação de PIN no smartphone de uma pessoa para a maioria dos usuários. A Microsoft afirma que todos os dados biométricos permanecem no dispositivo do usuário e nunca são enviados a ele.

Uma vantagem do sistema de chave de acesso é que um par de chaves criptográficas é criado e exclusivo para cada conta on-line. Um login para uma conta não funcionará para outra conta. Os leitores que quiserem experimentar o novo mundo de logins sem senha podem ler sobre a configuração de chaves de acesso para contas de consumidores em na Microsoft, Applee Google.

Os leitores que não quiserem usar senhas podem continuar usando códigos PIN ou dispositivos de hardware 2FA como este da Amazon (lembre-se de comprar um backup extra).

Possíveis problemas com as chaves de acesso

As chaves de acesso apresentam possíveis problemas e vulnerabilidades. O primeiro é a falta de duas informações diferentes para os logins - apenas o telefone ou o dispositivo 2FA é necessário, de modo que os dispositivos roubados possuem a capacidade total de fazer logon em todas as contas. As crianças sabem como espiar por cima do ombro para roubar um código PIN, e os hackers quebraram o reconhecimento facial da Microsoft https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery e verificação de impressão digital antes. Além disso, muitas contas protegidas por senha permanecem vulneráveis porque as senhas são usadas como método de recuperação. É importante ressaltar que, se seus dados biométricos, como uma impressão digital, forem clonados, não será possível alterá-los, a menos que seja submetido a uma cirurgia, de modo que os hackers poderão fingir que são o usuário, desde que continue a usar a mesma impressão digital para autenticação.

A perda do banco de dados de senhas também é um problema significativo. Se as senhas forem totalmente eliminadas, a perda do banco de dados de chaves de acesso sem um método seguro de recuperação de conta pode bloquear instantaneamente os usuários de suas contas para sempre, como aconteceu com muitos detentores de bitcoins após perderem seus smartphones. O problema continua tão grande que até mesmo o autor de da webauthn-rs não está convencidoassim como muitos usuários que relataram que suas chaves de acesso foram destruídas por engano pelo Apple e outras empresas. Além disso, a NSA sabe que a criptografia não quântica atual, , está em riscoportanto, os usuários inteligentes devem desconfiar de backups de chaves de acesso na nuvem.

Estratégias seguras para senhas e contas

Gerenciadores de senhas, como 1password e LastPass foram hackeados várias vezes, portanto, até mesmo permitir que os navegadores da Web lembrem seus segredos pode ser uma má ideia, pois um hack bem-sucedido pode comprometer todas as contas. Em vez disso, use uma estratégia de criação de senha que o senhor possa lembrar facilmente. Por exemplo, frase longa favorita + "inicial do nome do site" + número + "símbolo".

Outra boa estratégia é isolar e dividir. Por exemplo, use uma conta de e-mail somente para finanças e outra para correspondência regular, com senhas diferentes. Os notebooks são baratos o suficiente(como este na Amazon) para que o senhor possa comprar um só para as finanças.

Como o SIM swaps é uma ameaça para todos os usuários que protegem contas usando seus telefones, leia como proteger seu cartão SIM para T-Mobile, Verizonou AT&T usuários.