.
Em agosto, o A empresa de infraestrutura de internet Cloudflare foi uma das centenas de alvos em uma onda de phishing criminal massiva que conseguiu violar várias empresas de tecnologia. Embora alguns funcionários da Cloudflare tenham sido enganados pelas mensagens de phishing, os invasores não conseguiram se aprofundar nos sistemas da empresa. Isso porque, como parte dos controles de segurança da Cloudflare, todo funcionário deve usar uma chave de segurança física para provar sua identidade ao fazer login em todos os aplicativos. Semanas depois, a empresa anunciou uma colaboração com a Yubico, fabricante de tokens de autenticação de hardware, para oferecer Yubikey com desconto aos clientes da Cloudflare.
No entanto, a Cloudflare não era a única empresa com alta proteção de segurança de tokens de hardware. No início deste mês, a Apple anunciou o suporte de chave de hardware para IDs da Apple, sete anos após o lançamento da autenticação de dois fatores em contas de usuário. E há duas semanas, o navegador Vivaldi anunciou o suporte a chaves de hardware para Android.
A proteção não é nova, e muitas das principais plataformas e empresas há anos apoiam a adoção de chaves de hardware e exigem que os funcionários as usem como a Cloudflare fazia. Mas este último aumento de interesse e implementação vem em resposta a uma série de crescentes ameaças digitais.
“As chaves de autenticação física são alguns dos métodos mais eficazes atualmente para proteção contra invasões de contas e phishing”, diz Crane Hassold, diretor de inteligência de ameaças da Abnormal Security e ex-analista de comportamento digital do FBI. “Se você pensar nisso como uma hierarquia, os tokens físicos são mais eficazes do que os aplicativos de autenticação, que são melhores do que a verificação por SMS, que é mais eficaz do que a verificação por e-mail.”
A autenticação de hardware é muito segura, porque você precisa possuir fisicamente a chave e produzi-la. Isso significa que um phisher online não pode simplesmente induzir alguém a entregar sua senha, ou mesmo uma senha mais um código de segundo fator, para invadir uma conta digital. Você já sabe disso intuitivamente, porque essa é toda a premissa das chaves de porta. Alguém precisaria da sua chave para destrancar a porta da frente – e se você perder a chave, geralmente não é o fim do mundo, porque alguém que a encontrar não saberá qual porta ela abre. Para contas digitais, existem diferentes tipos de chaves de hardware construídas com base nos padrões de uma associação da indústria de tecnologia conhecida como FIDO Alliance, incluindo cartões inteligentes que possuem um pequeno chip de circuito, tap cards ou fobs que usam comunicação de campo próximo, ou coisas como Yubikeys que se conectam a uma porta no seu dispositivo.
Você provavelmente tem dezenas ou até centenas de contas digitais e, mesmo que todas suportassem tokens de hardware, seria difícil gerenciar chaves físicas para todas elas. Mas para suas contas mais valiosas e aquelas que são uma alternativa para outros logins, ou seja, seu e-mail, a segurança e a resistência a phishing das chaves de hardware podem significar uma tranquilidade significativa.
Enquanto isso, após anos de trabalho, a indústria de tecnologia finalmente deu grandes passos em 2022 em direção a um futuro sem senha há muito prometido. A mudança está baseada em uma tecnologia chamada “chaves de acesso” que também são construídas nos padrões FIDO. Os sistemas operacionais da Apple, Google e Microsoft agora suportam a tecnologia, e muitas outras plataformas, navegadores e serviços a adotaram ou estão em processo de fazê-lo. O objetivo é tornar mais fácil para os usuários gerenciar sua autenticação de conta digital para que eles não usem soluções inseguras como senhas fracas. Por mais que você deseje, as senhas não vão desaparecer tão cedo, graças à sua onipresença absoluta. E em meio a todo o burburinho sobre chaves de acesso, os tokens de hardware ainda são uma importante opção de proteção.
“A FIDO tem posicionado as senhas em algum lugar entre senhas e autenticadores FIDO baseados em hardware, e acho que essa é uma caracterização justa”, diz Jim Fenton, consultor independente de privacidade e segurança de identidade. “Embora as senhas provavelmente sejam a resposta certa para muitos aplicativos de consumo, acho que os autenticadores baseados em hardware continuarão a ter um papel para aplicativos de maior segurança, como para funcionários de instituições financeiras. E os consumidores mais focados em segurança também devem ter a opção de usar autenticadores baseados em hardware, especialmente se seus dados foram violados anteriormente, se tiverem um alto patrimônio líquido ou se estiverem apenas preocupados com a segurança”.
Embora possa parecer assustador no início adicionar mais uma prática recomendada à sua lista de tarefas de segurança digital, os tokens de hardware são realmente fáceis de configurar. E você obterá muita quilometragem apenas usando-os em alguns, aham, chave contas.
.
