Autenticação sem senha: o que é e como funciona

O que é autenticação sem senha?

A autenticação sem senha é um método de autenticação ou verificação de identidade que usa biometria, certificações ou senhas de uso único (OTPs). Considerada mais segura do que as perguntas de segurança de senha tradicionais ou os códigos PIN (número de identificação pessoal), a autenticação sem senha oferece segurança aprimorada, carga administrativa reduzida e acesso mais simples para os usuários. A autenticação sem senha é comumente usada em combinação com a autenticação multifator (MFA) ou logon único (SSO).

Saiba mais sobre as cinco maneiras pelas quais a identidade fortalece a segurança cibernética para a empresa.

Ao contrário dos modos de autenticação tradicionais, que podem ser roubados, compartilhados ou reutilizados, a autenticação sem senha exige que os usuários verifiquem sua identidade com um fator de posse ou de inerência. Um fator de posse é algo que identifica exclusivamente o usuário e que nenhum outro usuário possa ter, como um dispositivo móvel registrado ou um token de hardware a ele atribuído. Os fatores de inerência são impressões digitais, impressões da palma da mão ou da mão, reconhecimento de voz e facial, além de escaneamento de retina ou íris. 

A autenticação sem senha oferece uma alternativa eficaz às senhas, que geralmente são divulgadas, adivinhadas ou submetidas a engenharia reversa. A segurança aprimorada fornecida protege contra muitos ataques conhecidos que exploram as vulnerabilidades da autenticação por senha.  

Entre os tipos de ataques aos quais a autenticação sem senha é resistente estão: 

• Ataques de força bruta  
• Preenchimento de credenciais
• Ataques de dicionário 
• Keylogging  
• Ataques de man-in-the-middle (MitM)
• Pulverização de senha 
• Phishing 
• Ataques de tabela arco-íris 
• Ataques de força bruta reversa 
• Smishing
• Spear phishing 
• Vishing 
• Whaling

Os benefícios adicionais da autenticação sem senha são: em camadas.

• Menos impacto nas equipes de suporte
• Mais fácil de usar do que a tradicional autenticação baseada em senha
• Custo total de propriedade (TCO) mais baixo com infraestrutura reduzida 
• Complexidade reduzida na pilha de identidade
• Os usuários não precisam mais se lembrar de uma senha 

Tipos de autenticação sem senha

Biometria

São usados scanners avançados para capturar e validar fatores de autenticação biométrica, como impressões digitais, impressões da palma da mão ou da mão, reconhecimento de voz e facial, além de escaneamento de retina ou íris, em relação aos dados salvos em um banco de dados de autenticação.  

A biometria é um fator de autenticação especialmente confiável porque é estatisticamente impossível de replicar. Por exemplo, a probabilidade de dois rostos serem semelhantes em atributos físicos é inferior a uma em um trilhão, e a chance de impressões digitais idênticas é de uma em 64 trilhões.

Tokens de hardware

Um token de hardware é um pequeno dispositivo eletrônico (por exemplo, chaveiro ou dispositivo USB) que gera uma senha de uso único (OTP), também chamada de token de software, cada vez que um usuário a ativa. O código é inserido no sistema para autenticar o usuário. 

Links mágicos

Um link mágico é um URL único enviado aos usuários por e-mail ou texto para verificação de identidade. Um aplicativo de autenticação em segundo plano faz a correspondência do dispositivo a um token em um banco de dados quando o usuário clica no link. 

Opções nativas

As ferramentas de autenticação sem senha são incorporadas em alguns aplicativos ou sistemas, como Google e Microsoft. Esta opção nativa para autenticação sem senha permite que os usuários acessem códigos desses aplicativos em vez de usar outros códigos.  

Cookies persistentes

Os cookies persistentes são armazenados em dispositivos autenticados. Eles têm armazenadas as credenciais de logon do usuário do dispositivo. Quando os usuários estão conectados, o cookie persistente é usado para conceder acesso a recursos com base em permissões. Os cookies persistentes podem permanecer nos sistemas de modo permanente ou ser configurados para expirar após um período específico.   

Cartões inteligentes

Os cartões inteligentes são cartões físicos que um leitor escaneia para autenticar os usuários e conceder-lhes acesso aos recursos. A maioria dos cartões inteligentes armazena dados em chips e usa RFID (identificação por radiofrequência) para conectividade.   

Como funciona a autenticação sem senha

A autenticação sem senha solicita que os usuários se autentiquem usando algo que tenham (por exemplo, chaveiro ou token) ou algo que seja parte deles (por exemplo, impressão digital) para verificação de identidade antes que obtenham acesso a recursos seguros. As etapas que um usuário segue são divididas em duas fases: registro e verificação. 

Registro de autenticação sem senha

1. Quando os usuários têm contato com um aplicativo ou serviço pela primeira vez, eles recebem uma solicitação de aprovação de registro validada usando autenticação sem senha (por exemplo, biometria). 
2. Quando a solicitação é aprovada, uma chave de criptografia privada é gerada para o usuário. 
3. A chave de criptografia pública é enviada ao aplicativo ou serviço. 

Verificação de autenticação sem senha

1. Um desafio é gerado e enviado para o dispositivo do usuário quando ele tenta fazer login. 
2. O usuário responde ao desafio desbloqueando a chave privada, usando o método estabelecido de autenticação sem senha. 
3. A chave privada é usada para concluir o desafio. 
4. Para que o usuário tenha acesso, a chave pública deve aceitar a chave privada. 

Segurança de dados e autenticação sem senha

A autenticação sem senha reduz as vulnerabilidades inerentes às senhas tradicionais e melhora significativamente a segurança de dados das seguintes formas:

• A satisfação do cliente pode ser melhorada sem comprometer a segurança de dados. 
• A segurança de dados para informações confidenciais pode ser significativamente melhorada. 
• É possível ter grande facilidade de uso combinada a uma maior segurança de dados. 
• O custo da segurança de dados pode ser reduzido. 

Autenticação multifator (MFA) vs. autenticação sem senha

A autenticação sem senha e a autenticação multifator (MFA), muitas vezes, são confundidas e consideradas sinônimos. Ambas são tipos de autenticação multifator, mas se baseiam em fatores diferentes. A autenticação sem senha não usa senhas, ao passo que a MFA usa senhas como um dos fatores para verificação de identidade. 

Implementação da autenticação sem senha

A autenticação sem senha pode ser implementada de várias maneiras, mas as mais comuns são a biometria, os tokens FIDO (Fast Identity Online Client) e os códigos de uso único.   

• A biometria usa dispositivos que contam com sensor biométrico. 
• Os tokens FIDO usam dispositivos físicos que geram códigos de uso único. 
• Os links mágicos são enviados para o e-mail ou número de telefone de um usuário. 
• Os códigos de uso único enviam códigos de acesso para o endereço de e-mail ou número de telefone de um usuário. 

As organizações podem usar uma delas ou implementar uma combinação delas. Por exemplo, elas podem usar um código único ou um token FIDO para verificação inicial de identidade e, em seguida, usar a biometria para autenticação adicional.   

A seguir estão as etapas usadas para implementar a autenticação sem senha.  

1. Selecionar o modo de autenticação (por exemplo, biometria, tokens FIDO, links mágicos, códigos de uso único). 
2. Determinar quantos fatores serão usados — vários fatores são considerados uma prática recomendada.  
3. Adquirir e implantar sistemas de hardware e software de suporte. 
4. Registrar os usuários no sistema de autenticação (por exemplo, digitalizar o rosto de todos os colaboradores no caso de sistema de reconhecimento facial). 

Autenticação sem senha e autenticação adaptativa

Embora seja mais difícil hackear fatores de inerência, fatores de posse ou links mágicos, não deixa de ser possível. A combinação de autenticação sem senha com autenticação adaptável eleva a segurança de acesso a um nível mais alto.

A autenticação adaptativa adiciona uma camada de proteção respaldada por inteligência artificial (IA) à autenticação sem senha, que usa aprendizado de máquina para desenvolver padrões típicos de comportamento do usuário. Um desvio nos padrões representa um risco e aciona uma resposta de segurança designada, como solicitar ao usuário autenticação secundária ou bloquear a conta.

Autenticação sem senha e confiança zero

Uma estratégia de segurança de confiança zero requer a eliminação de qualquer tipo de confiança. Isso significa eliminar as senhas tradicionais para autenticação de identidade, uma vez que elas não apenas não são dignas de confiança e caras, mas também retardam os programas de confiança zero. A autenticação sem senha é uma substituição razoável, pois se alinha aos princípios de confiança zero e oferece muitos outros benefícios.

Mitigação de vetores de ataque primários

As senhas são amplamente consideradas como um ponto de entrada principal para violações de dados. O uso da autenticação sem senha reduz essa vulnerabilidade.

Ao contrário de algumas soluções de segurança aprimoradas, a autenticação sem senha é econômica e fácil de usar. Organizações de todos os tipos e tamanhos vêm implementando com sucesso autenticações sem senha, que devem ser consideradas para qualquer organização com ativos digitais a proteger. 

Você também pode estar interessado em: