Um futuro sem senha: chaves de acesso no Google Workspace

As senhas têm sido usadas em computadores por mais de 60 anos, mas, hoje, elas simplesmente não são mais suficientes para manter os dados de usuários e organizações seguros. Os ataques de phishing continuam a crescer em escala e sofisticação, aproveitando as falhas de segurança nas senhas. Por exemplo:

• Mais de 60% das violações de dados em 2021 envolveram credenciais roubadas ou phishing
• Violações de dados causadas por phishing custaram às organizações US$ 4,91 milhões em média em 2022
• Ataques de phishing cresceram 61% em 2022, chegando a 255 milhões em seis meses

Na última década, o Google esteve na vanguarda da batalha contra phishing e ameaças relacionadas a senhas, inclusive por meio de nossas defesas automatizadas que utilizam IA do Google. Defendemos o desenvolvimento de chaves físicas de segurança e sua padronização na FIDO Alliance. Sendo geralmente uma alternativa mais simples e segura do que as senhas, as chaves de acesso representam o ápice desse trabalho para levar a tecnologia resistente a phishing a bilhões de pessoas em todo o mundo. No início de maio, disponibilizamos chaves de acesso como uma opção de login adicional para as Contas Pessoais do Google. A partir de hoje, em versão Beta e aberto, mais de 9 milhões de organizações podem permitir que seus usuários façam login nas contas do Google Workspace e do Google Cloud usando chaves de acesso, em vez de senhas.

As chaves de acesso apresentam benefícios significativos de segurança e usabilidade para os usuários, e estamos entusiasmados em ser o primeiro grande provedor de nuvem pública a trazer essa tecnologia para nossos clientes — de pequenas a grandes empresas, escolas e governos. Embora os usuários ainda possam continuar usando senhas para fazer login em suas contas pessoais e de trabalho do Google, as chaves de acesso podem oferecer uma alternativa mais simples e segura, além de ajudar a reduzir o impacto de phishing e outros ataques de engenharia social.

O que são chaves de acesso?

As chaves de acesso são um novo método de login sem senha que podem oferecer uma experiência de autenticação mais conveniente e segura em sites e aplicativos, permitindo que os usuários façam login com uma impressão digital, reconhecimento facial ou até mesmo outro mecanismo de bloqueio de tela em telefones, laptops ou desktops. Elas são baseadas em um padrão do setor e estão disponíveis em navegadores e sistemas operacionais populares que as pessoas usam todos os dias, incluindo Android, ChromeOS, iOS, macOS e Windows. Ao contrário das senhas, as chaves de acesso não precisam ser lembradas ou digitadas e não podem ser anotadas ou dadas acidentalmente a alguém. As chaves de acesso são, simplesmente, mais fáceis de usar. Na verdade, os primeiros dados do Google (março a abril de 2023) mostraram que as chaves de acesso são 2 vezes mais rápidas e 4 vezes menos propensas a erros do que as senhas.

Elas são baseadas nos mesmos protocolos criptográficos de chave pública que sustentam as chaves de segurança físicas, como a Titan Security Key e, portanto, podem ser resistentes a phishing e outros ataques online. Na verdade, a pesquisa do Google mostrou que as chaves de segurança fornecem uma proteção mais forte contra bots automatizados, ataques de phishing em massa e ataques direcionados do que SMS, senhas únicas baseadas em aplicativos e outras formas de autenticação tradicional de dois fatores (2FA). A resistência a phishing das chaves de acesso é o motivo pelo qual os usuários com alto risco de ataques direcionados e inscritos no Programa de Proteção Avançada, agora, podem usar chaves de acesso além das chaves de segurança físicas.

A Snap Inc. já está se beneficiando das chaves de acesso para ajudar a reduzir o ônus do gerenciamento de senhas e fortalecer a segurança de seus funcionários: "A parceria com a equipe do Google Workspace para mudar de senhas para chaves de acesso reduz o risco de vazamento de senhas e roubo de contas dos nossos funcionários", disse Jim Higgins, CISO da Snap Inc. “ Nossa equipe de Segurança Corporativa está aprofundando nossa parceria de segurança com o Google e está animada para expandir a adoção de chaves de acesso em nossa empresa, visando fornecer uma experiência de login mais segura e conveniente.”

As chaves de acesso também foram projetadas tendo em mente a privacidade do usuário. Quando um usuário faz login com uma chave de acesso em seus aplicativos do Workspace, como Gmail ou Google Drive, a chave de acesso pode confirmar que um usuário tem acesso ao dispositivo e pode desbloqueá-lo com uma impressão digital, reconhecimento facial ou outro mecanismo de bloqueio de tela. Os dados biométricos do usuário nunca são enviados para os servidores do Google ou outros sites e aplicativos. Para uma visão mais detalhada de como as chaves de acesso funcionam nos bastidores, confira este nosso blogpost.

Habilitando as chaves de acesso

Os administradores podem permitir que os usuários em suas organizações ignorem as senhas ao entrar usando uma chave de acesso. Por padrão, essa configuração está desativada, o que significa que os usuários não podem pular senhas durante o login, mas ainda podem criar e usar chaves de acesso como um método de verificação em duas etapas (2SV). Para permitir que os usuários pulem senhas, os administradores podem seguir estas etapas simples no Admin Console .

Para começar a usar chaves de acesso em vez de senhas ou como um método de verificação em duas etapas no Google Workspace e no Google Cloud, os usuários podem acessar g.co/passkeys