É hora de substituir palavras-passe por passkeys

Um tesouro de quase dez mil milhões de palavras-passe roubadas descobertas por investigadores na Cybernews pode ajudar a acelerar uma transição para passkeys.

Descrito como o maior conjunto de palavras-passe alguma vez descoberto, um total de 9.948.575.739 palavras-passe únicas foram encontradas no ficheiro ‘rockyou2024.txt’ que tem sido utilizado para agregar palavras-passe que os cibercriminosos aparentemente têm usado para realizar ataques de força bruta em grande escala. O objetivo é lançar uma onda de ataques na esperança de que uma percentagem das palavras-passe roubadas não tenha sido alterada.

Os cibercriminosos têm, naturalmente, vindo a criar repositórios de senhas roubadas há décadas. Quantos desses repositórios foram criados é desconhecido, mas nos últimos anos, tornou-se evidente que mais violações estão a ser habilitadas por credenciais roubadas do que por malware. De facto, muitos cibercriminosos não veem a necessidade de criar malware para comprometer ambientes de TI quando as credenciais roubadas estão prontamente disponíveis. Isso não significa que já não estejam a criar novas variantes de malware. Após ganhar inicialmente acesso utilizando credenciais roubadas, os cibercriminosos frequentemente instalam malware que depois se propaga lateralmente num ambiente de computação distribuído.

O problema é que demasiadas organizações continuam a depender de palavras-passe isoladas que são relativamente fáceis de roubar. Felizmente, as passkeys baseadas numa especificação definida pela FIDO Alliance surgiram recentemente como uma alternativa que utiliza algum tipo de autenticação biométrica. As passkeys utilizam técnicas de criptografia de chave pública para proporcionar autenticação resistente ao phishing. Ao aceder a uma aplicação ou serviço, um dispositivo cliente cria um novo par de chaves criptográficas que está associado ao domínio do serviço web. O dispositivo mantém a chave privada e regista a chave pública no serviço online que é exclusiva dessa aplicação ou serviço.

Nem todas as organizações conseguirão substituir as palavras-passe de um dia para o outro, mas pelo menos qualquer palavra-passe criada hoje deve ser gerada pelo sistema, exclusiva para uma conta, segura num gestor de palavras-passe e utilizada em combinação com autenticação multifator (MFA) que inclua uma aplicação de autenticação.

As organizações que continuam a depender de palavras-passe autónomas estão agora a assumir um nível de risco muito mais elevado do que as organizações que adotaram as chaves de acesso. No entanto, não existe segurança perfeita. Os cibercriminosos ainda podem, por exemplo, abusar de cookies para contornar mecanismos de autenticação de chaves de acesso, mas as chaves de acesso reduzem a dependência de palavras-passe autónomas que são facilmente roubadas.

O desafio é que as chaves de acesso exigem tempo e recursos para serem implementadas. As organizações que estão a transitar para chaves de acesso ou qualquer outro tipo de alternativa de autenticação podem descobrir que ainda precisarão de gerir palavras-passe durante muitos anos. Como tal, as organizações devem, pelo menos, rodar rotineiramente as palavras-passe para melhorar a sua postura geral de cibersegurança.

As equipas de cibersegurança devem assumir que credenciais anteriormente roubadas foram utilizadas para plantar malware nos seus ambientes de TI, o qual devem procurar antes que inevitavelmente seja ativado. Igualmente importante, as equipas de cibersegurança precisam garantir que a liderança sénior das organizações compreenda claramente as limitações das palavras-passe.

Afastar-se das palavras-passe, claro, é tanto um desafio cultural quanto técnico. As palavras-passe, de várias formas, têm sido utilizadas desde que o primeiro guarda pediu a alguém uma senha há séculos. As palavras-passe estão, para o bem ou para o mal, enraizadas na psique humana. A única diferença entre agora e quando a primeira palavra-passe foi criada, como demonstram os ficheiros Rockyou2024, é que agora são apenas demasiado fáceis de roubar.