Uso de chaves de acesso corporativas: nuances e desafios

A transição para chaves de acesso promete às organizações um caminho econômico para a autenticação robusta de funcionários, maior produtividade e conformidade regulatória. Já abordamos todos os prós e contras dessa solução empresarial num outro artigo detalhado. Mas, o sucesso da transição, e até mesmo sua viabilidade, realmente depende dos detalhes técnicos e especificações da implementação em vários sistemas corporativos.

A transição para chaves de acesso promete às organizações um caminho econômico para a autenticação robusta de funcionários, maior produtividade e conformidade regulatória. Já abordamos todos os prós e contras dessa solução empresarial num outro <a href=”https://www.kaspersky.com.br/blog/passkey-enterprise-readiness-pros-cons/24075/” target=”_blank” rel=”noopener”>artigo detalhado</a>. Mas, o sucesso da transição, e até mesmo sua viabilidade, realmente depende dos detalhes técnicos e especificações da implementação em vários sistemas corporativos.

A compatibilidade de chaves de acesso com sistemas de gerenciamento de identidade

Antes de enfrentar os obstáculos organizacionais e elaborar políticas de uso, você terá que determinar se seus principais sistemas de TI estão prontos para migrar para chaves de acesso.

O Microsoft Entra ID (Azure AD) é totalmente compatível com chaves de acesso, permitindo que os administradores as definam como o método de entrada principal. Para implementações híbridas com recursos locais, o Entra ID pode gerar tíquetes Kerberos (TGTs), que podem ser processados pelo controlador de domínio do Active Directory.

No entanto, a Microsoft ainda não oferece suporte nativo à chave de acesso para RDP, VDI ou entradas do AD somente no local. Dito isto, com algumas soluções alternativas, as organizações podem armazenar chaves de acesso em um token de hardware como um YubiKey. Esse tipo de token pode ser compatível simultaneamente com a tecnologia tradicional PIV (cartões inteligentes) e FIDO2 (chaves de acesso). Também há soluções de terceiros para esses cenários, mas você precisará avaliar como seu uso afeta sua postura geral de segurança e a conformidade regulatória.

Boas notícias para os usuários do Google Workspace e do Google Cloud: essas soluções oferecem total compatibilidade com chaves de acesso.

Sistemas populares de gerenciamento de identidade, como Okta, Ping, Cisco Duo e RSA IDplus, também são compatíveis com o protocolo FIDO2 e todas as principais formas de chaves de acesso.

A compatibilidade de chaves de acesso em dispositivos finais

Já publicamos um post detalhado sobre o assunto. Todos os sistemas operacionais modernos do Google, Apple e Microsoft são compatíveis com chaves de acesso. Mas, se sua empresa usa Linux, você provavelmente precisará de ferramentas extras, e a compatibilidade geral ainda é limitada.

Além disso, embora para todos os principais sistemas operacionais possam parecer oferecer compatibilidade total superficialmente, eles variam muito na forma como as chaves de acesso são armazenadas e isso pode levar a problemas de compatibilidade. As combinações de vários sistemas, como computadores Windows e smartphones Android, são as mais problemáticas. Você pode criar uma chave de acesso num dispositivo e descobrir que não pode acessá-la em outro. Para empresas com uma frota de dispositivos rigorosamente gerenciada, há algumas maneiras de resolver isso. Por exemplo, você pode fazer com que os funcionários gerem uma chave de acesso separada para cada dispositivo usado da empresa. Isso significa um pouco mais de configuração inicial: os funcionários precisarão passar pelo mesmo processo de criação de uma chave de acesso em cada dispositivo. Mas, uma vez feito isso, o login leva um tempo mínimo. Além disso, se eles perderem um dispositivo, não serão completamente impedidos de usar seus dados de trabalho.

Outra opção é usar um gerenciador de senhas aprovado pela empresa para armazenar e sincronizar chaves de acesso nos dispositivos de todos os funcionários. Isso também é obrigatório para empresas que usam computadores Linux, pois o sistema operacional não pode armazenar chaves de acesso nativamente. Um aviso importante: essa abordagem pode adicionar alguma complexidade quando se trata de auditorias de conformidade regulatória.

Se você estiver procurando por uma solução quase sem problemas com a sincronização e múltiplas plataformas, chaves de acesso de hardware como o YubiKey são o caminho a percorrer. O problema é que eles podem ser significativamente mais caros para implementar e gerenciar.

Compatibilidade de aplicativos de negócios com chaves de acesso

O cenário ideal para implementar chaves de acesso para seus aplicativos corporativos é fazer com que todos os seus aplicativos use o login único (SSO). Dessa forma, você só precisa implementar a compatibilidade com chave de acesso na sua solução SSO corporativa, como Entra ID ou Okta. Mas, se alguns de seus aplicativos corporativos críticos não forem compatíveis com SSO, ou se essa compatibilidade não fizer parte do seu contrato (o que, infelizmente, acontece), você terá que emitir chaves de acesso individuais para que os usuários façam login em cada um deles separadamente sistema. Os tokens de hardware podem armazenar de 25 a 100 chaves de acesso, portanto, seu principal custo extra aqui seria administrativo.

Os sistemas comerciais populares que oferecem compatibilidade totalmente com chaves de acesso incluem Adobe Creative Cloud, AWS, GitHub, Google Workspace, HubSpot, Office 365, Salesforce e Zoho. Alguns sistemas SAP também são compatíveis com chaves de acesso.

Prontidão dos funcionários

A implementação de chaves de acesso significa manter sua equipe atualizada, independentemente do cenário. Você não quer que eles quebrem a cabeça tentando entender como usar novas interfaces. O objetivo é que todos se sintam confiantes usando chaves de acesso em todos os dispositivos. Aqui estão os principais pontos que seus funcionários precisarão entender.

• Por que as chaves de acesso são melhores que as senhas (são muito mais seguras, mais rápidas para fazer login e não precisam ser rotacionadas)
• Como a biometria funciona com chaves de acesso (os dados biométricos nunca saem do dispositivo e não são armazenados ou processados pela empresa)
• Como obter sua primeira chave de acesso (por exemplo, a Microsoft tem um recurso de Passe de Acesso Temporário e sistemas IAM de terceiros geralmente enviam um link de integração, mas, o processo precisa ser completamente documentado)
• O que fazer se o dispositivo não reconhecer a chave de acesso
• O que fazer se usuários perderem um dispositivo (fazer login de outro dispositivo que tenha sua própria chave de acesso ou usar um OTP, talvez fornecido a eles em envelope lacrado para essa emergência)
• Como fazer login em sistemas de trabalho em outros computadores (se as políticas da empresa permitirem)
• Como pode ser uma tentativa de phishing relacionada à chave de acesso

As chaves de acesso não são invencíveis

Mudar para chaves de acesso não significa que sua equipe de cibersegurança pode simplesmente excluir ameaças de identidade da sua lista de riscos. Claro, isso torna as coisas mais difíceis para os invasores, mas eles ainda podem fazer o seguinte:

• Sistemas de destino que não mudaram para chaves de acesso
• Procure sistemas que ainda têm métodos de login alternativos, como senhas e OTPs
• Roubar tokens de autenticação de dispositivos infectados com infostealers
• Use técnicas especiais para ignorar as proteções de chaves de acesso

Embora seja impossível efetuar o phishing da própria chave de acesso, os invasores podem configurar uma infraestrutura da web falsa para induzir a vítima a autenticar e validar uma sessão maliciosa em um serviço corporativo.

Um exemplo recente desse tipo de ataque AiTM foi documentado nos EUA. Nesse incidente, a vítima foi atraída para uma página de autenticação falsa para um serviço corporativo, onde os invasores primeiro phishing de seu nome de usuário e senha e, em seguida, a confirmação da sessão, fazendo com que eles verificassem um código QR. Neste incidente, as políticas de segurança foram configuradas corretamente, portanto, a verificação desse código QR não levou à autenticação bem-sucedida. Mas, como esse mecanismo com chaves de acesso foi implementado, os invasores esperam que possa estar configurado incorretamente algum ponto, e a proximidade física do dispositivo no qual a autenticação é executada e o dispositivo onde a chave está armazenada não é verificada.

Em última instância, alternar para chaves de acesso requer uma configuração de política detalhada. Isso inclui políticas de autenticação (como desativar senhas quando uma chave de acesso estiver disponível ou banir tokens físicos de fornecedores desconhecidos) e políticas de monitoramento (como registrar registros de chave de acesso ou cenários entre dispositivos de locais suspeitos).