As chaves de acesso foram projetadas para substituir senhas e combater ataques de phishing, mas o Google e a Microsoft advertem que elas serão insuficientes se métodos de recuperação mais fracos permanecerem em uso. “Cada conta é tão segura quanto sua credencial mais fraca”, afirmou a Microsoft, observando que as senhas e a recuperação de SMS podem criar novas vulnerabilidades mesmo após a implantação das chaves de acesso.
O Google reconheceu que “as chaves de acesso são uma maneira mais fácil e segura de acessar contas on-line em comparação com senhas e até mesmo métodos multifatoriais tradicionais”, mas enfatizou que elas não são totalmente seguras por si só. A empresa alertou os usuários que “mesmo quando você normalmente usa uma chave de acesso, é importante proteger sua conta com verificação em duas etapas (2SV)”. Essa camada adicional de segurança é essencial, principalmente se alguém tentar se passar pelo usuário e alegar ter perdido sua chave de acesso.
Os processos de recuperação automatizados que exploram credenciais mais fracas podem ignorar uma chave de acesso, tornando essencial proteger ainda mais as contas. A Microsoft sinalizou a recuperação de contas como uma nova superfície de ataque à medida que a adoção de chaves de acesso aumenta e os métodos de ataque tradicionais diminuem. “A implantação de chaves de acesso melhora o login”, observou a Microsoft, “mas a maioria das contas ainda tem uma senha ou método SMS anexado ‘por precaução’ – e enquanto essas credenciais existirem, elas serão uma superfície de ataque”.
O método de recuperação recomendado envolve o uso da chave de acesso da conta em um dispositivo diferente para concluir as etapas de recuperação. A Microsoft também sugeriu métodos de recuperação de alta garantia que exigem identificação emitida pelo governo e verificação biométrica, como uma digitalização facial, dizendo: “Como recomenda o NIST, a recuperação de alta garantia requer identificação emitida pelo governo e verificação biométrica”.
Esta orientação visa principalmente usuários corporativos da Microsoft e usuários domésticos do Google. Apesar do público diferente, ambas as empresas reconhecem as ameaças que persistem. O Google destacou que contas de alto valor como o Gmail estão sob ataques constantes, incentivando os usuários a implementarem 2SV para aumentar a segurança. Os usuários também devem selecionar formas eficazes de 2SV, como Google Prompts e um aplicativo Authenticator, abandonando os códigos SMS únicos, que são considerados métodos mais fracos.
À medida que a adoção de chaves de acesso acelera, a Microsoft reiterou que as proteções só funcionarão se os usuários eliminarem todas as credenciais phishing. O alerta do Google sobre as limitações das chaves de acesso é particularmente relevante à medida que os invasores começam a se concentrar em fluxos de recuperação e métodos de autenticação alternativos. A evolução contínua das ameaças exige uma estratégia de segurança abrangente que inclua métodos de recuperação robustos, além da simples implementação de chaves de acesso.
