Recentemente, uma apresentação feita por um pesquisador em um dos maiores eventos de segurança do mundo, o DEF CON, trouxe à tona uma preocupação com os passkeys, ou chaves de acesso, que são cada vez mais adotadas como alternativa às senhas tradicionais. Marek Tóth, o responsável pela descoberta, mostrou como um ataque chamado clickjacking poderia ser utilizado para comprometer esse método de autenticação. Mas o que isso significa para nós, profissionais de tecnnologia?
O que são os passkeys?
Os passkeys são uma forma de autenticação que promete ser mais segura que as senhas comuns. Eles não podem ser adivinhados, não são reutilizáveis em diferentes sites e, em teoria, não podem ser facilmente revelados a atacantes. Contudo, a apresentação de Tóth levantou questões importantes sobre como a segurança de um sistema não depende apenas da tecnologia, mas de toda a sua arquitretura e como cada parte interage.
Como funciona. o ataque?
O ataque demonstrado envolve a interceptação de um PublicKeyCredential, que é essencialmente um “bilhete de entrada” único para a autenticação. Isso ocorre quando um usuário é enganado a clicar em um elemento oculto na página, o que aciona a interação do gerenciador de senhas, criando uma janela de oportunidade para que um atacante capture esse bilhete antes que ele chegue ao site legítimo. O mais alarmante é que esse ataque depende de uma combinação de falhas de configuração tanto no lado do usuário quanto no lado do operador do site.
Dicas para proteger sua autenticação
Com base nas descobertas de Tóth, aqui estão algumas dicas avançadas que podem ajudar a mitigar esses riscos:
- Use sempre a autenticação em duas etapas: Isso adiciona uma camada extra de segurança, dificultando a vida dos atacantes.
- Configure seu gerenciador de senhas: Certifique-se de que ele exija uma verificação biométrica ou PIN para cada operação de preenchimento automático. Isso pode ajudar a detectar uma tentativa de clickjacking.
- Implemente o session binding: Se você é um desenvolvedor, implemente práticas de session binding para garantir que a autenticação esteja atrelada a uma sessão específica.
- Eduque seus usuários: Ensine-os a reconhecer sinais de comportamento suspeito, como janelas pop-up estranhas ou solicitações inesperadas de autenticação.
Reflexões finais
Ainda que os passkeys sejam uma evolução no campo da segurança, é essencial lembrar que a segurança digital é uma responsabilidade compartilhada. Tanto os desenvolvedores quanto os usuários devem se manter atualizados sobre as melhores práticas e vulnerabilidades emergentes. Como profissionais da área de tecnologia, temos o dever de criar sistemas que não só inovem, mas que também protejam de forma eficaz. E, claro, sempre questionar e testar nossas próprias implementações é uma forma de garantir que não sejamos pegos de surpresa.
Por fim, o que podemos concluir é que a segurança é um jogo de camadas. Uma única falha pode comprometer toda a estrutura, então, vamos investir na educação e nas melhores práticas.