Certamente que se lembra que o MFA ia ser, aquela silver bullet que ia resolver todos os problemas relacionados com acesso a contas, roubo de passwords e identidade.

Campanhas para activar MFA, treino, artigos que nunca mais acabam, encheram as nossas caixas de correio

Existem chaves FIDO e outros tokens, mas esses adicionam complexidade e “fricção” ao processo, então daí que os passkeys apareceram como uma solução inovadora para os problemas causados por ataques de phishing, especialmente os ataques man-in-the-middle (MitM) ou adversary-in-the-middle (AiTM). Estes ataques de phishing usam um servidor proxy para capturar a senha e o cookie de sessão logo após o utilizador realizar a Autenticação Multifator (MFA). Isto permite ao atacante usar o cookie de sessão enquanto este for válido. Com a crescente implementação de MFA pelas empresas, os ataques tornam-se uma ameaça significativa na segurança das contas dos utilizadores.

Esta semana tivemos pelos menos 4 casos onde ataques deste género foram usados, e, com sucesso usaram uma das contas para enviar uma campanha de phishing, que afectou quase 900 pessoas internamente!

Não deixo de dar props a quem, usando a sua habilidade para fins que condeno, consiga arranjar soluções que funcionam tão bem!

Os passkeys consistem num par de chaves de criptografia geradas pelo dispositivo do utilizador. A chave privadaé mantida em segredo e segura no dispositivo, enquanto a chave pública pode ser partilhada. A chave pública é usada para cifrar (ou bloquear) dados, mas apenas a chave privada pode decifrá-los (ou desbloqueá-los). Este método assegura a proteção das informações do utilizador; sem a chave privada, o atacante não consegue efetuar login em nome do utilizador. O acesso à chave privada é protegido através de um PIN ou métodos biométricos (como impressão digital ou reconhecimento facial).

Os passkeys promovem um login sem password, onde cada passkey é uma chave digital única e não reutilizável, evitando o seu abuso em ataques MiTM.

Há dois tipos principais de passkeys:

Quando começamos a falar sobre isto, normalmente surge a questão: como é possível efetuar login num dispositivo e autorizar esse login utilizando o iCloud, por exemplo, ao fazer o scan de um código QR? Poderia pensar-se que este código QR também poderia ser intercetado por um proxy AiTM. No entanto, para contornar esse cenário, o dispositivo que faz o scan  do código QR precisa estar fisicamente próximo ao dispositivo que o gerou (normalmente usando o Bluetooth para validar isso) impedindo a sua interceção. Além disso, como a chave privada é armazenada de forma segura, o hacker não tem como obter a sua posse, ao contrário do cookie de sessão que pode facilmente encontrada e usada com o método de proxy.

Mesmo sem adicionar grande complexidade na implementação, quer seja em ambientes muito pequenos ou grandes deployments, os passkeys representam um avanço significativo na segurança da informação, oferecendo uma solução robusta contra ataques de phishing e AiTM, reforçando a proteção dos dados dos utilizadores num ambiente digital cada vez mais exposto a ameaças cibernéticas.

Deixo aqui alguns links úteis para administradores de sistemas Microsoft, que podem começar a activar os passkeys nos tenants que gerem, já a partir de Janeiro

Como sempre, este é um jogo do gato e do rato, e é só uma questão de tempo, até alguém arranjar uma forma de contornar isto - e nós cá estaremos para ajudar as pessoas!