As chaves de acesso foram projetadas para substituir senhas e combater ataques de phishing, mas tanto o Google quanto a Microsoft alertam que elas serão insuficientes se persistirem métodos de recuperação mais fracos. A Microsoft declarou: “Cada conta é tão segura quanto sua credencial mais fraca”, indicando que as senhas e as opções de recuperação de SMS ainda podem fornecer novas superfícies de ataque, mesmo após a implementação de chaves de acesso.
O Google reconhece que as chaves facilitam o acesso online mais fácil e seguro em comparação com as senhas e outros métodos tradicionais de autenticação multifatorial. No entanto, a empresa alerta que os usuários também devem proteger suas contas com verificação em duas etapas (2SV) para se protegerem contra tentativas de falsificação de identidade que possam explorar chaves de acesso perdidas.
Vulnerabilidades em processos de recuperação automatizados podem permitir que invasores utilizem credenciais mais fracas para ignorar completamente as chaves de acesso. De acordo com a Microsoft, embora a implantação de chaves de acesso melhore a segurança de login, muitas contas continuam a ter opções de recuperação de senha ou SMS vinculadas a elas, mantendo assim possíveis superfícies de ataque. “A implantação de chaves de acesso melhora o login”, disse a Microsoft, enfatizando os riscos apresentados por métodos de recuperação fracos.
A solução de recuperação ideal envolve o uso da senha da conta em um dispositivo diferente. A Microsoft também observou que um método de recuperação superior inclui a apresentação de identificação emitida pelo governo e verificação biométrica, alinhando-se com as recomendações do NIST para recuperação de alta garantia.
A Microsoft direciona sua orientação principalmente para usuários corporativos, enquanto o Google se concentra em usuários domésticos. Apesar desta distinção, ambos reconhecem que serviços como o Gmail continuam a ser alvos atraentes para os cibercriminosos. O Google incentiva os usuários a implementarem 2SV para proteção adicional contra acesso não autorizado, especialmente devido ao risco de invasores usarem indevidamente o processo de recuperação de conta.
O Google enfatiza a necessidade de usar dois tipos específicos de 2SV: Google Prompts e um aplicativo Authenticator em dispositivos móveis. Tanto o Google quanto a Microsoft desaconselham a utilização de códigos SMS únicos, categorizando-os como formas fracas de autenticação multifatorial que deveriam ser totalmente desativadas em favor de alternativas mais seguras.
Embora a adoção de chaves de acesso esteja aumentando, a Microsoft alerta que sua eficácia depende da eliminação completa das credenciais phishing pelos usuários. O Google enfatiza que, embora as chaves de acesso sejam um desenvolvimento crucial, elas não são uma solução infalível, especialmente porque os invasores visam cada vez mais fluxos de recuperação e métodos de autenticação alternativos.
