O futuro é sem senha: como as senhas simplificarão sua vida e nos protegerão a todos

Publicados: 2022-11-16

Não é nenhum segredo que a autenticação sem senha está assumindo o controle. Líderes globais de tecnologia, como Apple, Google e Microsoft, estão mudando para o uso de senhas. Aproveitando a criptografia de chave pública, as senhas trazem uma experiência de mudança de paradigma em segurança digital.

O iThemes tem liderado o caminho para tornar o WordPress e, finalmente, toda a Internet mais segura e utilizável para todos. O futuro é sem senha e estamos aqui para lhe dizer o porquê.

Neste guia de autenticação sem senha, você aprenderá como as senhas superam as vulnerabilidades de segurança da autenticação baseada em senha e por que você deve começar a usá-las.

A jornada para a autenticação sem senha

A jornada para a autenticação sem senha já começou. Todos os principais navegadores e gigantes da tecnologia introduziram suporte completo para senhas. 2022 se tornou um novo marco na implementação de logins sem senha mais consistentes, seguros e fáceis em vários dispositivos e plataformas digitais.

Todos os anos, o Dia Mundial da Senha, designado como a primeira quinta-feira de maio, celebra os novos avanços feitos em um esforço conjunto para tornar a web mais segura e utilizável para todos. Em 05 de maio de 2022, Apple, Google e Microsoft anunciaram planos para expandir o suporte para o padrão de login sem senha criado pela FIDO Alliance e pelo World Wide Web Consortium.

Durante anos, a FIDO (Fast Identity Online) Alliance e o World Wide Web Consortium têm trabalhado em um conjunto de padrões que permitirá a implementação da autenticação sem senha na Internet. FIDO 2 é o mais novo conjunto de especificações, agora suportado pela maioria dos navegadores e plataformas.

Analisaremos como a autenticação sem senha funciona com mais detalhes no guia. Mas antes disso, vamos ver por que a autenticação por senha está gradualmente se tornando uma coisa do passado.

Por que a autenticação baseada em senha foi deixada para trás?

A autenticação baseada em senha está conosco desde que a Internet existe, permitindo que os usuários façam login em um site ou aplicativo da Web usando um par de credenciais - um nome de usuário e uma senha. Essa abordagem provou sua confiabilidade e versatilidade e tem sido o padrão da indústria por anos.

No entanto, apesar de sua fácil implementação e uso, várias desvantagens e riscos de segurança associados à autenticação baseada em senha foram rapidamente descobertos tanto no lado do usuário quanto no lado do servidor. Simplificando, tanto os usuários quanto os servidores não têm a capacidade de manter o segredo compartilhado seguro.

Os principais riscos de segurança associados à autenticação baseada em senha estão centrados no uso da senha como segredo compartilhado. Isso pode ficar disponível para um ator mal-intencionado em diferentes estágios do processo de autenticação. As senhas podem ser violadas ou simplesmente adivinhadas devido a um ataque de força bruta bem-sucedido.

3 maneiras comuns pelas quais as senhas são expostas

Estudos mostraram que mais de 80% de todas as violações relacionadas a hackers são atribuídas a comprometimentos de senha. Isso significa que, em algum momento, o hacker conseguiu obter acesso não autorizado ao sistema, representando o legítimo proprietário de um site ou aplicativo da web. Mas como exatamente os sites são invadidos?

As formas mais comuns pelas quais as senhas são expostas incluem phishing, ataques de força bruta e violações de dados. Os usuários podem ser induzidos a fornecer suas informações de autenticação. Ou as senhas podem ser adivinhadas ou vazadas em caso de violação de dados por parte do provedor de serviços.

Ataques de força bruta e violações de dados

Os ataques de força bruta estão aumentando, respondendo por aproximadamente 80% de todos os ataques à rede. Como a adivinhação de senha foi automatizada, não leva muito tempo para o invasor invadir qualquer conta.

A máquina do hacker (ou mesmo uma rede de computadores conhecida como botnet) pode gerar milhares de combinações por segundo. Isso permite que o invasor obtenha acesso não autorizado a um site ou aplicativo da Web rapidamente.

E se você está se perguntando por que um hacker atacaria seu site, a explicação é simples. Os hackers têm a capacidade de fazer milhares de solicitações da web por segundo. Eles raramente escolhem em quais sites gostariam de invadir – eles tentarão hackear o maior número possível.

Obter acesso de administrador a um site ou mesmo a um servidor inteiro abre oportunidades quase ilimitadas para os hackers explorarem o sistema. Uma delas é o vazamento de informações do usuário, incluindo nomes de usuário e senhas, do banco de dados do aplicativo.

Por que o uso de senhas fortes não aborda todos os riscos de segurança

O uso de senhas fortes é absolutamente essencial e fornecerá uma forte linha de defesa contra ataques de força bruta. Acredita-se que o uso de uma senha forte aborda todos os riscos de segurança. No entanto, isso só pode diminuir as chances de suas credenciais serem comprometidas até certo ponto.

Apenas cerca de 30% dos usuários configuram a autenticação de dois fatores. Sem usar a autenticação multifator, os hackers estão a apenas um passo de obter acesso a informações confidenciais.

Configurar senhas únicas, verificação por SMS ou qualquer outro tipo de 2FA é uma ótima opção para superar a maioria das vulnerabilidades de segurança da autenticação de senha. No entanto, as senhas podem fazer uma diferença real no mundo da segurança cibernética.

chaves de acesso

O que são chaves de acesso?

As senhas são credenciais digitais alimentadas por criptografia assimétrica que podem substituir totalmente a autenticação baseada em senha. Como uma forma de autenticação sem senha, as chaves de acesso fornecem uma maneira mais rápida e segura de entrar em serviços e aplicativos em vários dispositivos de usuário.

A autenticação sem senha permite que você não precise inserir um nome de usuário e senha para fazer login. Em vez disso, seu dispositivo gerará uma chave de acesso - um par de chaves criptográficas que um determinado ID de credencial identificará.

Como as senhas garantem autenticação segura

Cada chave de acesso que você cria é exclusiva e com escopo para um site ou aplicativo da web individual. Como não há segredos ou senhas compartilhados que o usuário precise lembrar, as senhas fornecem proteção total contra phishing e ataques de força bruta.

Assim que uma nova chave de acesso for criada, o servidor salvará a chave pública e o ID da credencial. A chave privada será armazenada com segurança no dispositivo do usuário ou em uma chave de segurança de hardware, como YubiKey, que você pode carregar.

Para oferecer suporte a senhas, o dispositivo do usuário deve ter o chip de segurança Trusted Platform Module (TPM) para executar operações criptográficas, como gerar chaves e um autenticador de plataforma. O autenticador de plataforma geralmente suporta vários tipos de verificação de identidade, incluindo informações biométricas e códigos PIN.

As senhas também podem ser sincronizadas automaticamente entre os dispositivos do usuário por meio de um serviço de nuvem. Portanto, você não precisa criar um novo par de chaves em outros dispositivos. A sincronização da chave de acesso é criptografada de ponta a ponta e o serviço em nuvem armazenará com segurança uma cópia criptografada da chave de acesso.

Mesmo que a chave pública vaze, ela será inútil para o hacker sem a chave privada correspondente. Isso elimina qualquer possibilidade de acesso não autorizado devido a uma violação de dados. Não há uma maneira real de um ator mal-intencionado se passar por você.

Como funcionam as senhas?

O uso de senhas tornou-se possível graças ao desenvolvimento da criptografia assimétrica e a diversos padrões e protocolos criados pela FIDO Alliance e pelo World Wide Web Consortium. Vamos revisar como as chaves de acesso funcionam com mais detalhes, aprendendo mais sobre criptografia de chave pública, WebAuthn e protocolo cliente para autenticador.

Criptografia de chave pública

A chave pública, ou criptografia assimétrica, envolve um par de chaves – privada e pública – que são usadas para criptografar e descriptografar dados trocados por diferentes partes. A chave privada deve ser mantida em segredo enquanto a chave pública é publicada online (ou fornecida ao servidor quando uma senha é criada).

Além da autenticação sem senha, a criptografia assimétrica ajuda a garantir a criptografia de ponta a ponta para proteger o tráfego que viaja pela rede. Um certificado SSL/TLS tem a chave privada instalada no servidor de origem, enquanto a chave pública é usada para verificar a identidade de um site antes de estabelecer uma conexão.

API de autenticação da Web (WebAuthn) e protocolo cliente para autenticador

Juntamente com o protocolo Client to Authenticator, a Web Authentication API faz parte do framework FIDO2, um conjunto de tecnologias que possibilita o uso de autenticação sem senha entre servidores, navegadores e autenticadores.

WebAuthn, abreviação de Web Authentication API, é uma nova especificação desenvolvida pelo World Web Consortium e FIDO que permite que servidores implementem autenticação sem senha. A partir de 2019, o WebAuthn é compatível com todos os principais navegadores, incluindo Chrome, Firefox, Safari e Edge.

Como uma interface de programação de aplicativos, o WebAuthn permite que sites e aplicativos da Web registrem e autentiquem usuários usando senhas em vez de senhas.

A Autenticação da Web funciona em conjunto com outros padrões FIDO, como Gerenciamento de Credenciais e Protocolo Cliente para Autenticador 2 (CTAP 2). CTAP 2 é um protocolo de camada de aplicativo que especifica a comunicação entre o navegador, o sistema operacional e um autenticador de roaming.

Registrando uma chave de acesso

Quando você registra uma nova chave de acesso para autenticação, o servidor que hospeda o aplicativo gera um desafio. Em seguida, seu dispositivo criará um novo par de chaves, assinará o desafio e enviará a chave pública ao servidor, juntamente com o ID da credencial.

O servidor salvará a chave pública e o identificador de credencial para autenticá-lo na próxima vez que você fizer login. Você pode criar várias senhas para cada conta para redundância. Isso também ajuda na recuperação mais rápida da conta caso a chave de acesso principal seja perdida.

A chave privada será salva em seu dispositivo e armazenada com segurança lá. A única maneira de acessar a chave privada é verificando sua identidade usando um sensor biométrico. Isso inclui sua impressão digital ou padrões faciais ou um PIN.

O processo de autenticação sem senha

Depois que uma nova chave de acesso é criada para sua conta, você pode aproveitar a autenticação sem senha sempre que precisar fazer login em um site ou aplicativo. Em vez de fazer login com um nome de usuário e senha, você pode optar por usar uma chave de acesso.

O servidor enviará o ID da credencial (ou vários IDs se você tiver gerado mais de uma senha para a conta) e um desafio. Seu dispositivo usará o ID da credencial para encontrar a chave correta e solicitará que você valide sua identidade usando um dos métodos de autenticação suportados.

Depois que a chave for desbloqueada, seu dispositivo assinará o desafio e o enviará ao servidor para autenticação. O servidor verificará o desafio assinado usando a chave pública do par e concederá acesso à sua conta.

iThemes traz autenticação sem senha para WordPress

O WordPress sempre foi um alvo de alta prioridade para hackers em todo o mundo.

O aumento no número de ataques a sites WordPress e os volumes globais de malware não passam despercebidos. À medida que os ataques maliciosos atingem mais alvos, a segurança do site agora é mais importante do que nunca.

Durante anos, o iThemes procurou novas maneiras de proteger sites WordPress de ameaças de segurança cada vez maiores. Os relatórios semanais de vulnerabilidade do WordPress nos ajudaram a entender como proteger uma das áreas críticas de um site WordPress – seu painel de administração.

As senhas são, sem dúvida, uma das inovações mais notáveis ​​no mundo da segurança cibernética. A crescente adaptação de senhas entre plataformas e sistemas operacionais pode mudar a internet para sempre. As senhas do WordPress podem fazer uma diferença real na segurança do WordPress. E o iThemes não esperou nem mais um minuto para disponibilizar a autenticação sem senha para a comunidade WordPress.

Em setembro de 2022, o iThemes Security Pro incluiu suporte para senhas do WordPress para autenticação sem senha. Trazendo os últimos desenvolvimentos em segurança cibernética para o seu site WordPress, o iThemes Security Pro deu um grande passo em direção a uma experiência de autenticação mais segura e consistente.

Com o iThemes Security Pro, as senhas para autenticação do WordPress estão disponíveis em todos os tipos de dispositivos. Você pode usar um autenticador de plataforma, como Apple Touch ID, Face ID e Windows Hello, bem como qualquer autenticador de roaming.

Comece a usar senhas para WordPress

Para começar a usar senhas para autenticação de administrador do WordPress, certifique-se de atualizar o iThemes Security Pro para a versão mais recente. A opção para ativar a autenticação sem senha estará disponível na guia Segurança de login. Depois que o suporte para senhas estiver ativado, configure as senhas para usuários do WordPress no painel de administração.

Se você ainda não está aproveitando as atualizações automáticas de núcleo, tema e plug-in do WordPress, é hora de começar. BackupBuddy, uma solução de backup premiada para WordPress, ajudará você a criar uma forte estratégia de backup para lidar com todas as atualizações com confiança.

Executando mais de um site? O iThemes Sync ajudará você a gerenciar vários sites WordPress a partir de um único painel, economizando tempo e dinheiro. Monitoramento avançado, rastreamento de métricas de SEO e integração com BackupBuddy e iThemes Security Pro - tudo disponível para você com seu assistente pessoal de site WordPress.

Como os gigantes da tecnologia implementam senhas

Os três gigantes globais da tecnologia – Apple, Google e Microsoft – lideraram o caminho para a autenticação sem senha em todos os principais navegadores e sistemas operacionais. Android, iOS e Windows agora podem usar poderosos autenticadores de plataforma integrados e sincronizar senhas em vários dispositivos.

Maçã

A Apple introduziu chaves de acesso com o lançamento do IOS 16 e do macOS Ventura, tornando a autenticação sem senha disponível para usuários em todos os dispositivos Apple. Os autenticadores integrados da Apple, como Touch ID e Face ID, autorizam o uso de senhas no Safari e em outros navegadores importantes.

As senhas são sincronizadas em todos os dispositivos Apple do usuário com a ajuda do iCloud Keychain. Quando um usuário ativa as Chaves do iCloud pela primeira vez, o dispositivo Apple estabelece um círculo de confiança e cria um novo par de chaves exclusivo armazenado nas chaves do dispositivo. Dessa forma, o iCloud Keychain fornece criptografia de ponta a ponta com chaves criptográficas fortes.

Google

Em outubro, o Google anunciou trazer suporte de senha para o Google Chrome e Android. Este foi um marco importante na integração de senhas no ecossistema. No Chrome e no Android, as senhas são armazenadas no Gerenciador de senhas do Google. As credenciais são sincronizadas entre os dispositivos do usuário conectados à mesma conta do Google.

No futuro, o Google planeja expandir o suporte para senhas para Android. Uma nova API permitirá o uso de senhas para aplicativos Android.

Microsoft

A Microsoft tem liderado o caminho na implementação da autenticação sem senha na Internet. Antes de 2022, o suporte para chaves de acesso já estava incluído no Windows 365 e na área de trabalho virtual do Azure.

A Microsoft permite logins sem senha usando o Windows Hello, um autenticador de plataforma robusto agora incorporado ao Windows 10 e 11. A implementação de senhas da Microsoft é semelhante à da Apple. Ele permite que você sincronize suas chaves de acesso entre dispositivos conectados à mesma conta da Microsoft.

Outras empresas que usam senhas

Várias empresas já adotaram a autenticação sem senha com base nos padrões desenvolvidos pela FIDO Alliance. PayPal, Amazon, eBay, Facebook, Netflix e IBM estão entre os inovadores que trazem autenticação sem senha para suas plataformas.

Empacotando

Com base na criptografia assimétrica e em muitos protocolos e especificações poderosos desenvolvidos pela FIDO Alliance e World Web Consortium, as senhas podem substituir totalmente a autenticação baseada em senha em um futuro próximo. As maiores empresas de tecnologia estão gradualmente expandindo o suporte para senhas. Logo podemos esquecer os ataques de força bruta e o acesso não autorizado.

Depois de anos encontrando a solução certa para fornecer uma experiência de autenticação mais consistente, as senhas estão aqui para simplificar nossas vidas e nos proteger. Você já deve esquecer quais são as senhas? Ainda não, mas você definitivamente precisa estar pronto para usar senhas.

O futuro da autenticação são as chaves de acesso! Entre no seu site WordPress com Biometria disponível apenas no iThemes Security Pro

Os problemas de ataques de força bruta por meio de preenchimento de credenciais, ataques de phishing e senhas reutilizadas tornaram nossa vida digital menos segura. Todos nós tentamos encorajar a autenticação de 2 fatores como proteção, mas menos de 30% dos usuários realmente usam 2FA. Logins baseados em senha são um problema.

O futuro da autenticação são as senhas, e o iThemes Security Pro é o primeiro a trazer essa tecnologia inovadora para sites WordPress. Usando a inovadora tecnologia WebAuthn baseada em criptografia pública/privada, as senhas tornam as senhas obsoletas. Agora, administradores de sites e usuários finais podem ter logins seguros sem a inconveniência de aplicativos adicionais de dois fatores, gerenciadores de senhas ou requisitos de senha complexos.

Saiba mais sobre senhas