Microsoft bloqueia 7 mil ataques a senhas por segundo

Em um relatório publicado recentemente, a Microsoft revelou que bloqueia 7 mil ataques a senhas por segundo, quase o dobro do número reportado no ano anterior. Além disso, a empresa destacou que os ataques de phishing realizados por adversários no meio do caminho, conhecidos em inglês como Adversary in the Middle (AiTM), aumentaram 146%.

A reflexão da Microsoft é que a era das senhas está chegando ao fim, e, por isso, os cibercriminosos estão acelerando desesperadamente os ataques relacionados a senhas enquanto ainda podem.

Mas, se as senhas estão em sua fase final, como os usuários acessarão suas contas e serviços?

Está começando a era das passkeys?

O plano da Microsoft é convencer um bilhão de usuários a adotarem as chaves de acesso, também conhecidas como passkeys.

As passkeys oferecem níveis superiores de proteção, privacidade e simplicidade em comparação com as senhas tradicionais. Google e Apple também estão promovendo o uso desse método de autenticação, que elimina a necessidade de lembrar uma senha e um nome de usuário.

Na prática, são chaves digitais armazenadas e protegidas por criptografia no dispositivo, que não podem ser interceptadas por cibercriminosos.

Por que usar Passkeys?

Para incentivar os usuários a adotarem este novo método de autenticação em vez das senhas, a Microsoft destaca no relatório citado os benefícios relacionados à sua simplicidade de uso. A empresa afirma que:

• Fazer login com uma passkey é três vezes mais rápido do que com uma senha tradicional e até oito vezes mais rápido do que com senha e autenticação multifator.
• Os usuários têm três vezes mais sucesso ao fazer login usando chaves de acesso (98%) em comparação com senhas (32%).
• 99% dos usuários que iniciam o registro para usar passkeys concluem o processo.
• Mas, além da simplicidade de uso para o usuário, as passkeys também se baseiam em outros dois pilares: proteção e privacidade.
• No que diz respeito à proteção, elas são uma opção robusta e segura contra phishing, a ponto de não funcionarem em sites falsos. Além disso, e este é um ponto importante, cada chave de acesso é uma chave digital única que não pode ser reutilizada.
• Quanto à privacidade, nos casos em que a biometria é utilizada como parte do método, essas informações permanecem no dispositivo e não são compartilhadas com os provedores de serviços.

Como foi o cenário das senhas em 2024?

Conforme analisado no início de 2024, credenciais roubadas continuam sendo uma das principais formas de acesso utilizadas por cibercriminosos. As consequências de essas informações caírem em mãos erradas podem variar de fraudes financeiras e roubo de identidade até a infiltração em sistemas de corporações e órgãos estatais, resultando no roubo de informações confidenciais.

Um caso emblemático foi o vazamento de dados sofrido pelo ChatGPT, que teve mais de 225 mil credenciais comprometidas e publicadas em mercados clandestinos. Essas credenciais foram obtidas entre janeiro e outubro de 2023, por meio de infostealers associados principalmente ao LummaC2, Raccoon e RedLine.

A atividade dos infostealers aumentou significativamente ao longo de 2024. De acordo com as detecções da ESET, esses malwares não apenas aparecem disfarçados como cracks de software e cheats para videogames, mas também se passam por ferramentas de IA generativa. Além disso, sua atuação não se limita ao Windows. A família de malwares GoldDigger, por exemplo, opera no sistema operacional Android. Já a campanha de malware Ebury, que está ativa há mais de uma década, continua roubando cartões de crédito, criptomoedas e credenciais SSH em sistemas operacionais do tipo UNIX.

Leia mais:

• Sua senhas são realmente seguras?
• Senhas: 5 erros comuns que você deve evitar
• Vazamentos de dados: como saber se suas informações de login foram comprometidas

Conclusão

Embora as passkeys se posicionem como um método mais seguro e simples de autenticação, a transição não ocorrerá da noite para o dia, e é muito provável que as senhas continuem em uso, pelo menos no curto prazo.

Como vimos, as senhas geralmente são mais vulneráveis a ataques: podem ser fáceis de adivinhar, reutilizadas em diferentes serviços ou armazenadas de forma insegura pelos usuários. Por outro lado, as passkeys eliminam esses problemas, graças a um sistema mais seguro baseado em criptografia.

Ainda que as passkeys representem um grande avanço rumo a um mundo digital mais seguro, será fundamental que os usuários sejam acompanhados nesse processo, recebendo informações detalhadas sobre seu uso e os benefícios que oferecem, para garantir uma adoção ampla e eficaz.