As senhas estão quebradas. WebAuthn é o novo padrão para autenticação

Publicados: 2022-09-22

Recentemente, o iThemes Security Pro adicionou chaves de acesso como um método de autenticação principal para sites WordPress. Este lançamento inovador é o primeiro de seu tipo no espaço WordPress, e é algo que você deve saber. Mais uma vez, a iThemes Security mostrou liderança no fornecimento de funcionalidades de segurança excepcionais para usuários do WordPress.

Neste post, analisaremos o problema da senha, o que é o WebAuthn e por que você começará a usar essa tecnologia em todos os lugares. Se você é proprietário de um site WordPress procurando melhorar a funcionalidade de login e segurança para seus usuários finais, agora você tem o padrão de ponta para logins sem atrito disponíveis para você.

Entendendo o problema de senha que o WebAuthn resolve

Nossas vidas online, incluindo as contas de usuário usadas pelo WordPress, foram baseadas no acesso por nome de usuário e senha. Isso foi bom por um tempo. Mas senhas reutilizadas, ataques de força bruta de dicionário e o compartilhamento de dados de contas violados por agentes mal-intencionados tornaram nosso sistema de segurança baseado em senha ineficaz.

Na verdade, o Relatório DBIR da Verizon para 2022 relata que mais de 80% das violações podem ser atribuídas a credenciais roubadas, e houve um aumento de 30% nas credenciais roubadas como principal vetor de intrusão versus exploração de vulnerabilidades.

Credenciais refere-se à combinação de nome de usuário/senha. E os dados da Verizon nos dizem uma coisa: as senhas são quebradas. A adição da autenticação de dois fatores (2FA) foi útil, mas, infelizmente, o atrito e a complexidade que ela adiciona significam que ela só foi adotada por 28% dos usuários. Nós entendemos; A 2FA adiciona outra camada de atrito para os invasores, mas também dificulta o login dos usuários. E no caso do 2FA baseado em SMS, ele simplesmente não é seguro o suficiente. Histórias de ataques de porta SIM para alvos de alto valor não são comuns, mas são catastróficas quando ocorrem.

A Aliança FIDO (Fast Identity Online) tem trabalhado para corrigir esses problemas, e o WebAuthn é a especificação que resultou desse trabalho.

Nesta fase de nossas vidas digitais, as senhas são quebradas. Felizmente, existe uma maneira nova e melhor de autenticação, que é o WebAuthn.

O que é WebAuthn?

WebAuthn é a abreviação de API de autenticação da Web. Esta é uma especificação escrita pelo W3C e FIDO, com a participação da Apple, Google, Mozilla, Microsoft, Yubico e outros. A API WebAuthn permite que os servidores registrem e autentiquem usuários usando criptografia de chave pública em vez de uma senha. Desde janeiro de 2019, o WebAuthn é compatível com Chrome, Firefox, Microsoft Edge e Safari. No momento da redação deste artigo, o WebAuthn é suportado por mais de 90% dos dispositivos e seus navegadores.

O WebAuthn faz parte da estrutura FIDO2, que é um conjunto de tecnologias que permitem a autenticação sem senha entre servidores, navegadores e autenticadores. O WebAuthn foi padronizado pelo World Wide Web Consortium.

Agora que muitos de nossos dispositivos usam autenticação biométrica, como FaceID no seu iPhone ou reconhecimento de impressão digital no seu MacBook, Windows Hello e muitos outros, temos um novo método para determinar se uma tentativa de login é realmente o usuário válido e não um ataque de força bruta.

Como o WebAuthn funciona?

O WebAuthn usa criptografia de chave pública para proteger as conexões entre os usuários e os sistemas que eles usam. Usando o WebAuthn, você pode usar um único método de autenticação, como a biometria em seus dispositivos ou um YubiKey, em qualquer site que suporte o padrão. Dessa forma, como usuário, você não precisa ter senhas para todos os sites que visita, apenas um autenticador forte que funcione com o WebAuthn.

Usando essa autenticação forte em vez de uma senha, podemos criar um par de chaves público-privado para um site. A chave privada é armazenada com segurança em seu dispositivo (por exemplo, seu telefone ou computador), e a chave pública e a credencial gerada aleatoriamente são enviadas ao servidor web para armazenamento. O servidor web e, no caso do iThemes Security Passkeys, seu site WordPress, pode usar a chave pública para verificar a identidade do usuário.

Como o WebAuthn funciona

Esta chave pública não é um segredo. Como tal, se o servidor da Web ou o site WordPress for invadido, as credenciais armazenadas com a chave pública serão inúteis para um invasor. A chave pública simplesmente não pode ser usada sem a chave privada.

Para entender como o WebAuthn realmente funciona, o Projeto FIDO2 possui ótimos recursos.

WebAuthn muda o cenário de segurança

O WebAuthn é realmente inovador no mundo da segurança. Bancos de dados não são mais tão atraentes para hackers, porque as chaves públicas não são úteis para eles. Além disso, o WebAuthn torna o roubo de credenciais mais difícil.

E para os usuários finais, o WebAuthn elimina a necessidade de lembrar vários nomes de usuário e senhas. Tudo o que um usuário em um MacBook, por exemplo, precisa é de sua impressão digital para fazer login em seu site habilitado com chaves de acesso de segurança iThemes.

A Apple, que implementou o WebAuthn, também observa que o WebAuthn protege contra ataques de phishing. Um ataque de phishing que envia e-mails aos usuários com links para telas de login falsas não seria eficaz sem senhas. Um usuário usando chaves de acesso para login de conta nem mesmo teria uma senha para fornecer a um formulário de phishing malicioso. A autenticação é totalmente tratada pela chave privada armazenada em seu dispositivo comunicando-se com a chave pública armazenada no servidor web. O WebAuthn efetivamente torna os ataques de phishing aleatórios e os ataques de spearphishing direcionados completamente ineficazes.

O jogo de segurança mudou com o WebAuthn. Embora possa levar algum tempo para que ataques de força bruta e roubo de senha se tornem menos atraentes para invasores mal-intencionados, os proprietários de sites proativos que optarem por implementar o WebAuthn serão líderes em garantir que seus sites não façam mais parte do jogo.

Logins sem atrito tornam os clientes mais felizes

Esses proprietários de sites também estão fornecendo um recurso valioso adicional para seus usuários, clientes, alunos ou quem estiver fazendo login em seus sites WordPress. Em vez de exigir protocolos de autenticação multifator cheios de atrito para garantir que o site WordPress permaneça seguro, o WebAuthn implementado pelo iThemes Security permite que os proprietários do site forneçam um login sem senha sem atrito, tornando seu site muito menos atraente para hackers.

Mais implementações do WebAuthn estão chegando

Você pode ver como essa tecnologia muda sua vida e se perguntar por que mais sites, serviços e aplicativos não estão usando o WebAuthn. Embora esta tecnologia seja inovadora, também é muito nova. Adicionar WebAuthn a serviços legados exigirá alguma refatoração. Mas, como vimos com muitas novas tecnologias que mudam o cenário, ela está chegando. A necessidade de ir além das senhas é um driver definitivo. E, à medida que mais usuários experimentam recursos de login sem atrito, começaremos a ver as solicitações de usuários para expandir os logins sem senha.

Dessa forma, o iThemes Security se consolidou como líder em segurança do WordPress, mudando a forma como os usuários do WordPress fazem login. O iThemes Security Passkeys é a primeira implementação do WebAuthn no espaço WordPress e certamente será o padrão daqui para frente.

Para obter as chaves de acesso de segurança do iThemes para o seu site WordPress agora, você precisará do iThemes Security Pro. Felizmente, atualmente você pode obter isso a um preço com desconto. Você não verá esses preços baixos por muito tempo, no entanto. A venda termina em 30 de setembro de 2022.

Obtenha chaves de acesso de segurança iThemes para seu site