A tecnologia de chaves de acesso funciona para empresas?

Todos os grandes gigantes da tecnologia promovem as chaves de acesso como uma forma eficaz e conveniente de substituir senhas, que pode acabar com phishing e vazamentos de credenciais. A ideia central é simples: você faz login com uma chave criptográfica armazenada com segurança em um módulo de hardware especial no seu dispositivo e desbloqueia essa chave com biometria ou PIN. Já abordamos o estado atual das chaves de acesso para usuários domésticos em detalhes em dois artigos (sobre terminologia e casos de uso básicos e cenários mais complexos). No entanto, as empresas têm requisitos e abordagens totalmente diferentes em relação à cibersegurança. Então, as chaves de acesso e o FIDO2 WebAuthn são realmente uma boa solução para o ambiente corporativo?

Razões para as empresas migrarem para chaves de acesso

Como em qualquer migração em larga escala, a mudança para chaves de acesso exige um caso de negócios bem planejado. No papel, as chaves de acesso resolvem vários problemas urgentes ao mesmo tempo:

• Reduza o risco de violações causadas por credenciais legítimas roubadas. Ser resistente contra o phishing é o principal benefício anunciado das chaves de acesso.
• Fortaleça as defesas contra outros ataques de identidade, como força bruta e credential stuffing.
• Promova a conformidade. Em muitos setores, os órgãos reguladores exigem o uso de métodos de autenticação robustos para funcionários, e as chaves de acesso geralmente se qualificam.
• Reduza custos. Se uma empresa optar por chaves de acesso armazenadas em laptops ou smartphones, poderá atingir um alto nível de segurança sem o gasto extra de dispositivos USB, cartões inteligentes e seus respectivos gerenciamento e logística.
• Impulsione a produtividade dos funcionários. Um processo de autenticação eficiente e tranquilo economiza tempo diário para todos os funcionários e reduz tentativas de login malsucedidas. A mudança para chaves de acesso geralmente anda de mãos dadas com a eliminação das universalmente odiadas mudanças periódicas de senha.
• Isso alivia a carga de trabalho do helpdesk, reduzindo a quantidade de tickets relacionada a senhas esquecidas e contas bloqueadas (é claro que outros tipos de problemas surgem, como dispositivos perdidos contendo chaves de acesso).

Qual a popularidade das chaves de acesso?

Um relatório da FIDO Alliance sugere que 87% das organizações pesquisadas nos EUA e no Reino Unido já fizeram a transição para o uso de chaves de acesso ou estão atualmente em processo de adoção. No entanto, uma análise mais detalhada do relatório revela que essa quantidade impressionante também inclui opções empresariais conhecidas, como cartões inteligentes e tokens USB para acesso à conta. Embora alguns deles sejam de fato baseados em WebAuthn e chaves de acesso, esses métodos não estão isentos de problemas. Eles são muito caros e criam uma carga contínua para as equipes de TI e cibersegurança relacionadas ao gerenciamento de tokens e cartões físicos: emissão, entrega, substituição, revogação e assim por diante. Quanto às soluções amplamente promovidas com base em smartphones e até mesmo sincronização em nuvem, 63% dos entrevistados relataram usar tais tecnologias, mas a extensão total de sua adoção ainda não está clara.

São raras as empresas que fazem a transição de toda a sua força de trabalho para a nova tecnologia. O processo pode ser desafiador do ponto de vista organizacional e simplesmente caro. Na maioria das vezes, a implementação é feita em fases. Embora as estratégias piloto possam variar, as empresas geralmente começam com os funcionários que têm acesso à propriedade intelectual (39%), administradores de sistemas de TI (39%) e executivos de alto escalão (34%).

Possíveis obstáculos à adoção de chaves de acesso

Quando uma organização decide fazer a transição para chaves de acesso, ela inevitavelmente enfrentará uma série de desafios técnicos. Isso por si só já renderia um artigo inteiro sobre o assunto. Mas para esse artigo, vamos nos ater às questões mais óbvias:

• Dificuldade (e às vezes impossibilidade total) de migrar para chaves de acesso ao usar sistemas de TI legados e isolados, especialmente o Active Directory local
• Fragmentação das abordagens de armazenamento de chaves de acesso nos ecossistemas da Apple, Google e Microsoft, complicando o uso de uma única chave de acesso em diferentes dispositivos
• Dificuldades extras de gestão se a empresa permitir o uso de dispositivos pessoais (BYOD) ou, inversamente, tiver proibições rígidas, como a proibição do Bluetooth
• Custos contínuos de compra ou aluguel de tokens e gerenciamento de dispositivos físicos
• Requisito específico de chaves de hardware não sincronizáveis para cenários de alta garantia com atestado (e mesmo assim, nem todos se qualificam — a FIDO Alliance fornece recomendações específicas sobre isso)
• Necessidade de treinar funcionários e lidar com as suas preocupações sobre o uso da biometria
• Necessidade de criar novas políticas detalhadas para TI, segurança cibernética e helpdesk para abordar problemas relacionados à fragmentação, sistemas legados e dispositivos perdidos (incluindo problemas relacionados aos procedimentos de integração e desligamento)

O que os órgãos reguladores têm a dizer sobre chaves de acesso?

Apesar de todos esses desafios, a transição para chaves de acesso pode ser uma conclusão precipitada para algumas organizações, se exigida por um regulador. Os principais órgãos reguladores nacionais e industriais geralmente dão suporte às chaves de acesso, direta ou indiretamente:

As Diretrizes de Identidade Digital NIST SP 800-63 permitem o uso de “autenticadores sincronizáveis” (uma definição que implica claramente chaves de acesso) para o Nível 2 de Garantia do Autenticador e autenticadores vinculados a dispositivos para o Nível 3 de Garantia do Autenticador. Dessa forma, o uso de chaves de acesso verifica com segurança as caixas durante as auditorias ISO 27001, HIPAA e SOC 2.

No seu comentário sobre o DSS 4.0.1, o PCI Security Standards Council nomeia explicitamente o FIDO2 como uma tecnologia que atende aos seus critérios de “autenticação resistente a phishing”.

A Diretiva de Serviços de Pagamento da UE 2 (PSD2) foi escrita de forma independente em termos de tecnologia. No entanto, ele exige Autenticação Forte do Cliente (SCA) e o uso de dispositivos baseados em Infraestrutura de Chave Pública para transações financeiras importantes, bem como vinculação dinâmica de dados de pagamento com a assinatura da transação. As chaves de acesso atendem a esses requisitos.

As diretivas europeias DORA e NIS2 também são independentes de tecnologia e geralmente exigem apenas a implementação da autenticação multifator, um requisito que as chaves de acesso certamente atendem.

Resumindo, escolher chaves de acesso específicas não é obrigatório para conformidade regulatória, mas muitas organizações consideram que esse é o caminho mais econômico. Entre os fatores que inclinam a balança a favor das chaves de acesso estão o uso extensivo de serviços de nuvem e SaaS, uma implementação contínua de chaves de acesso para sites e aplicativos voltados para o cliente e uma frota bem gerenciada de computadores e smartphones corporativos.

Guia empresarial para a transição para chaves de acesso

1. Monte uma equipe multifuncional. Isso inclui TI, cibersegurança, proprietários de empresas de sistemas de TI, suporte técnico, RH e comunicações internas.
2. Faça um inventário dos seus sistemas e métodos de autenticação. Identifique onde o WebAuthn/FIDO2 já é compatível, quais sistemas podem ser atualizados, onde a integração de login único (SSO) pode ser implementada, onde um serviço dedicado precisa ser criado para traduzir novos métodos de autenticação para aqueles suportados pelos seus sistemas e onde você terá que continuar usando senhas, sob monitoramento SOC reforçado.
3. Defina sua estratégia de chave de acesso. Decida se deseja usar chaves de segurança de hardware ou chaves de acesso armazenadas em smartphones e laptops. Planeje e configure seus métodos de login principais, bem como opções de acesso de emergência, como senhas de acesso temporárias (TAP).
4. Atualize suas políticas corporativas de segurança de informações para refletir a adoção de chaves de acesso. Estabeleça regras detalhadas de inscrição e recuperação. Estabeleça protocolos para casos em que a transição para chaves de acesso não esteja nos planos (por exemplo, porque o usuário precisa usar um dispositivo antigo que não é compatível com chaves de acesso). Desenvolva medidas auxiliares para garantir o armazenamento seguro de chaves de acesso, como criptografia obrigatória de dispositivos, uso de biometria e verificações de integridade de dispositivos de Gerenciamento de Dispositivos Móveis ou de mobilidade empresarial.
5. Planeje a ordem de implementação para sistemas e grupos de usuários diferentes. Defina um longo cronograma para identificar e corrigir problemas passo a passo.
6. Habilite chaves de acesso em sistemas de gerenciamento de acesso, como Entra ID e Espaço de Trabalho do Google, e configure os dispositivos permitidos.
7. Inicie um projeto piloto, começando com um pequeno grupo de usuários. Colete feedback e aprimore suas instruções e abordagem.
8. Conecte gradualmente os sistemas que não oferecem suporte nativo a chaves de acesso usando SSO e outros métodos.
9. Treine seus funconários. Inicie uma campanha de adoção de chaves de acesso, fornecendo aos usuários instruções claras e trabalhando com “campeões” em cada equipe para acelerar a transição.
10. Acompanhe o progresso e aprimore os processos. Analise métricas de uso, erros de login e tickets de suporte. Ajuste as políticas de acesso e recuperação adequadamente.
11. Elimine gradualmente os métodos de autenticação legados quando seu uso cair para taxas de um dígito. Primeiro e o mais importante: elimine códigos únicos enviados por canais de comunicação inseguros, como mensagens de texto e e-mail.