A Microsoft anunciou que todas as suas novas contas serão “sem senha por padrão”, visando fortalecer a segurança contra ataques de senha, como phishing, força bruta e preenchimento de credenciais.
Nos últimos anos, a empresa notou que o uso de dispositivos com outra forma de autenticação senão senhas se tornou cada vez mais comum, enquanto os ataques cibernéticos baseados em senhas aumentaram significativamente. Cientes do declínio das senhas, criminosos digitais têm investido em automatizar ataques de força bruta e phishing contra contas ainda protegidas por essas formas de autenticar credenciais. Em 2024, a Microsoft registrou alarmantes 7.000 ataques a senhas por segundo, mais que o dobro da taxa comparada a 2023.
O Declínio das Senhas
A dependência de senhas representa um risco crescente para a segurança digital, impulsionando a necessidade de métodos de autenticação mais robustos e eficientes. Estudos recentes destacam a vulnerabilidade das senhas. O relatório de 2025 da Verizon (“Data Breach Investigations Report”) revelou que 81% das violações de dados ainda envolvem senhas fracas, roubadas ou reutilizadas. Com o uso de GPUs (Unidades de Processamento Gráfico) de alta velocidade, ataques de força bruta evoluíram, sendo capazes de testar milhões de combinações por segundo e tornando até as senhas mais complexas vulneráveis em questão de minutos.
O Lucrativo Mercado de Credenciais Roubadas
O comércio ilegal de credenciais roubadas é vasto e altamente lucrativo, com mais de 24,6 bilhões de combinações de nome de usuário e senha circulam nos mercados clandestinos. Grupos sofisticados como Kimsuky (Coreia do Norte), MuddyWater (Irã) e APT28/29 (Rússia), utilizam malwares avançados, como o Lumma, e plataformas de Malware as a Service (MaaS) para escalar o roubo de informações em massa. Apenas em 2024, 3,9 bilhões de credenciais foram comprometidas devido a infecções de malware em 4,3 milhões de dispositivos.
Mesmo a autenticação multifator (MFA), essencial para segurança, enfrenta desafios com ferramentas como EvilProxy, capazes de interceptar tokens MFA. Com a popularização de plataformas como MaaS e Phishing-as-a-Service (PhaaS), essas ameaças estão agora acessíveis a qualquer pessoa com uma carteira de bitcoin.
A Transição para um Futuro Sem Senhas: Conhecendo as Alternativas
A transição para um mundo sem senhas não é apenas uma tendência, mas uma evolução impulsionada por tecnologias mais seguras e práticas. Grandes empresas como Microsoft, Google e Apple estão implementando soluções robustas que prometem aposentar as senhas. A Microsoft, por exemplo, planeja remover senhas para mais de um bilhão de usuários, e o Gartner prevê que 60% das grandes empresas eliminarão o uso de senhas para a maioria dos casos de uso já em 2025. Mas o que são exatamente essas alternativas e como elas superam as vulnerabilidades das senhas tradicionais?
Passkeys: Nova Geração de Autenticação
As passkeys representam um salto significativo em segurança e conveniência. Elas funcionam com base em criptografia de chave pública-privada (padrão FIDO): Para fazer login, seu dispositivo usa a chave privada para provar sua identidade ao servidor, que a verifica com a chave pública.
Vantagens sobre senhas:
Resistência a Phishing: Passkeys são vinculadas ao domínio específico do site ou aplicativo, tornando ataques de phishing ineficazes, pois a autenticação só ocorre no local correto.
Sem Segredos Vazados: Como a chave privada nunca é compartilhada com o servidor, não há senha para ser roubada em caso de violação do servidor.
Conveniência e Sincronização: Podem ser sincronizadas entre dispositivos do mesmo ecossistema (Google, Apple), mantendo a segurança e facilitando o acesso.
Biometria: Identidade Como Chave
A autenticação biométrica utiliza características físicas ou comportamentais únicas para verificar a identidade. Os métodos mais comuns incluem:
Impressão Digital e Reconhecimento Facial: Amplamente adotados em smartphones e laptops, oferecem desbloqueio rápido e seguro.
Reconhecimento de Íris e Voz: Métodos mais sofisticados que podem ser usados em cenários de alta segurança.
A Inteligência Artificial (IA) desempenha um papel crucial, com algoritmos de detecção de vivacidade que ajudam a prevenir ataques de spoofing (uso de fotos, vídeos ou máscaras para enganar o sistema).
Vantagens sobre senhas:
Exclusividade: As características biométricas são únicas.
Dificuldade de Roubo/Cópia Remota: Muito mais difícil de roubar ou replicar do que uma senha.
Facilidade de Uso: Geralmente mais rápido e intuitivo do que digitar senhas complexas.
Tokens de Segurança: Uma Camada Física ou Digital de Proteção
Tokens de segurança, sejam físicos ou virtuais, adicionam uma camada robusta de proteção, especialmente como parte da Autenticação Multifatorial (MFA).
Tokens Físicos: Dispositivos USB ou NFC que exigem a posse física e, muitas vezes, uma ação (como um toque) para autenticar, baseados em padrões como FIDO2/WebAuthn (Ex: YubiKey).
Aplicativos Autenticadores: Geram códigos de uso único baseados em tempo (TOTP) ou por notificação push que requer aprovação no dispositivo (Ex: Google Authenticator, Microsoft Authenticator).
Vantagens sobre senhas (especialmente senhas como único fator):
Resistência a Ataques Remotos: Um invasor precisaria não apenas interceptar uma credencial, mas também ter posse física do token ou acesso ao dispositivo com o aplicativo autenticador.
Superiores ao SMS como Fator de MFA: Não são vulneráveis a ataques de SIM swapping, onde criminosos transferem o número de telefone da vítima para outro chip.
Essas tecnologias não apenas substituem senhas, mas fundamentalmente transformam a autenticação, ligando-as ao usuário e seus dispositivos confiáveis, e menos dependente de segredos que podem ser facilmente comprometidos.
Por Que Ainda Usamos Senhas?
Apesar dos avanços, muitos usuários continuam a usar senhas por hábito. Essa confiança é enganosa, pois senhas podem ser facilmente descobertas, esquecidas ou compartilhadas. Ataques de phishing, frequentemente auxiliados por Inteligência Artificial (IA), continuam a roubar credenciais em larga escala, mesmo com a autenticação de dois fatores (2FA).
Segurança Corporativa
No contexto corporativo, onde a gestão de identidades e acessos é crítica, a autenticação com outra forma de autenticação senão senha oferece uma segurança significativamente aprimorada. Na Scunna, auxiliamos organizações a implementarem estratégias de autenticação modernas de forma estratégica e segura.
Entendemos que a transição para um ambiente passwordless exige uma avaliação cuidadosa das necessidades, da infraestrutura existente e do perfil dos usuários. Por isso, nossos Scunna Consulting Services e Scunna Professional Services são desenhados para guiar sua empresa nesse processo, desde a análise de riscos e custos até a implementação e sustentação das soluções mais adequadas e eficazes.
