Desafios na usabilidade de Passkey exigem solução contra phishing

São Paulo — InkDesign News —

Passkeys, tecnologia emergente para autenticação sem senha, enfrentam desafios significativos de usabilidade que dificultam sua adoção ampla, enquanto ataques baseados em identidade continuam a evoluir em sofisticação.

Vetor de ataque

Ataques baseados em identidade têm aumentado com técnicas avançadas de bypass de autenticação multifator (MFA) e roubo de credenciais. Além disso, a proliferação de ransomwares conta com brokers de acesso inicial que facilitam a entrada dos grupos criminosos nas redes das vítimas. Passkeys, que armazenam dados localmente e são resistentes a phishing, surgem como uma alternativa ao uso de senhas tradicionais, mas ainda apresentam limitações técnicas e de interoperabilidade entre plataformas, como Android, iOS e diferentes navegadores.

Impacto e resposta

A inconsistência na experiência de login com passkeys entre sistemas operacionais e navegadores gera confusão para usuários, especialmente iniciantes. A ausência de opções claras para criação e uso de passkeys durante o acesso a aplicações reduz sua adoção. A dominância das grandes plataformas como Google, Apple e Microsoft concentra o poder decisório sobre a tecnologia, deixando usuários e provedores de aplicações com menos influência. Além disso, a sincronização de credenciais entre dispositivos pessoais e corporativos pode representar riscos adicionais de segurança.

Análise e recomendações

“O ecossistema de passkeys está florescendo. Conceitualmente, as passkeys têm benefícios enormes,”
(“The passkey ecosystem is flourishing. Conceptually, passkeys have enormous potential benefits,”)

— Fei Liu, Pesquisador Sênior, Okta

O desenvolvimento deve focar na padronização do uso entre plataformas e na clareza para o usuário final, minimizando a complexidade e a barreira técnica. É crucial manter a autenticação multifator ativada, pois o uso exclusivo de senhas ainda prevalece e pode comprometer todo o sistema de autenticação, inclusive passkeys. Desenvolvedores precisam estar atualizados sobre as diferentes implementações para garantir maior compatibilidade e segurança nas aplicações.

“Estamos ainda no início da jornada de implementação, mesmo para os provedores de plataforma primária. Além disso, todos os provedores têm forte incentivo para que os usuários salvem suas passkeys em seus ecossistemas e adaptem as implementações para aproveitar seus ativos de ecossistema.”
(“We’re still at the very beginning of the implementation journey, even for first-party platform providers. Second, all providers have a strong incentive to let their users save their passkeys in their ecosystems and tailor implementations to leverage their ecosystem asset.”)

— Fei Liu, Pesquisador Sênior, Okta

Apesar das dificuldades atuais, a adoção de passkeys cresce e avança em usabilidade. Projetos futuros devem focar em resolver a interoperabilidade, fortalecer a autenticação multifator integrada e promover interfaces amigáveis para incentivar o uso seguro e efetivo dessa tecnologia de autenticação.

Fonte: (Dark Reading – Segurança Cibernética)