Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os ataques de phishing remotos estão a aumentar. Estes ataques visam roubar ou transmitir provas de identidade — como palavras-passe, códigos SMS ou códigos de acesso único de email — sem acesso físico ao dispositivo do utilizador. Os atacantes frequentemente usam engenharia social, recolha de credenciais ou técnicas de downgrade para contornar proteções mais fortes como chaves de acesso ou chaves de segurança. Com kits de ferramentas de ataque impulsionados por IA, estas ameaças estão a tornar-se mais sofisticadas e escaláveis.
As chaves de acesso ajudam a prevenir o phishing remoto, substituindo métodos de phishing como palavras-passe, SMS e códigos de email. Baseadas nos padrões FIDO (Fast Identity Online), as chaves de acesso utilizam criptografia de chave pública vinculada à origem, garantindo que as credenciais não possam ser reproduzidas ou partilhadas com agentes maliciosos. Para além de uma segurança mais forte, as chaves de acesso (FIDO2) oferecem uma experiência de início de sessão sem atritos, eliminando palavras-passe, reduzindo os prompts e permitindo uma autenticação rápida e segura entre dispositivos.
As Passkeys (FIDO2) também podem ser usadas para iniciar sessão no Microsoft Entra ID ou em dispositivos híbridos do Microsoft Entra com Windows 11 e obter login único em recursos cloud e on-premises.
O que são chaves de acesso?
As chaves de acesso são credenciais resistentes a phishing que fornecem autenticação forte e podem servir como método de autenticação multifator (MFA) quando combinadas com biometria do dispositivo ou PIN. Eles também oferecem resistência à usurpação de verificadores, o que garante que um autenticador só divulga segredos à Parte de Confiança (RP) com a qual a chave de acesso foi registada e não a um atacante a fingir ser esse RP. As chaves de acesso (FIDO2) seguem os padrões FIDO2, utilizando WebAuthn para navegadores e CTAP para comunicação com autenticadores.
O seguinte processo é utilizado quando um utilizador inicia sessão no Microsoft Entra ID com uma chave de acesso (FIDO2):
- O utilizador inicia o início de sessão no Microsoft Entra ID.
- O utilizador seleciona uma chave de acesso:
- Mesmo dispositivo (guardado no dispositivo)
- Cross-device (via código QR) ou uma chave de segurança FIDO2
- O Microsoft Entra ID envia um desafio (nonce) ao autenticador.
- O autenticador localiza o par de chaves usando o ID RP e o ID de credencial com hash.
- O utilizador realiza um gesto biométrico ou PIN para desbloquear a chave privada.
- O autenticador assina o desafio com a chave privada e devolve a assinatura.
- O Microsoft Entra ID verifica a assinatura usando a chave pública e emite um token.
Tipos de chaves de acesso
-
Chaves de acesso ligadas ao dispositivo: A chave privada é criada e armazenada num único dispositivo físico e nunca o abandona. Examples:
- Microsoft Authenticator
- FIDO2 Chaves de segurança
-
Chaves de acesso sincronizadas: A chave privada é armazenada na cloud de um fornecedor de chave de acesso e sincronizada entre dispositivos iniciados na mesma conta do fornecedor de chaves de acesso. As chaves de acesso sincronizadas não suportam atestado. Examples:
- Porta-chaves Apple iCloud
- Gestor de Palavras-passe do Google
As chaves de acesso sincronizadas oferecem uma experiência de utilizador fluida e conveniente, onde os utilizadores podem usar o mecanismo nativo de desbloqueio do dispositivo, como rosto, impressão digital ou PIN, para autenticar. Com base nas aprendizagens de centenas de milhões de utilizadores consumidores de contas Microsoft que se registaram e usam chaves de acesso sincronizadas, aprendemos:
- 99% de utilizadores registam com sucesso as chaves de acesso sincronizadas
- As chaves de acesso sincronizadas são 14 vezes mais rápidas em comparação com a palavra-passe e uma combinação tradicional de MFA: 3 segundos em vez de 69 segundos
- Os utilizadores têm 3 vezes mais sucesso ao iniciar sessão com passkey sincronizada do que com métodos de autenticação antigos (95% vs 30%)
- As chaves de acesso sincronizadas no Microsoft Entra ID trazem simplicidade de MFA em grande escala para todos os utilizadores empresariais. São uma alternativa conveniente e económica às opções tradicionais de MFA, como SMS e aplicações de autenticação.
Para mais informações sobre como implementar chaves de acesso na sua organização, consulte Como ativar chaves de acesso sincronizadas.
A autenticação verifica a autenticidade do fornecedor ou dispositivo da chave de acesso durante o registo. Quando aplicado:
- Fornece identidade de dispositivo verificável criptograficamente através do Serviço de Metadados FIDO (MDS). Quando a atestação é aplicada, as partes de confiança podem validar o modelo de autenticador e aplicar decisões políticas para dispositivos certificados.
- Chaves de acesso não atestadas, incluindo chaves de acesso sincronizadas e chaves de acesso vinculadas ao dispositivo não atestadas, não fornecem a proveniência do dispositivo.
No Microsoft Entra ID:
- A atestação pode ser aplicada ao nível do perfil da chave de acesso .
- Se a atestação estiver ativada, apenas as chaves de acesso limitadas ao dispositivo são permitidas; As chaves de acesso sincronizadas são excluídas.
Escolha a opção de chave de acesso certa
As chaves de segurança FIDO2 são recomendadas para indústrias altamente reguladas ou utilizadores com privilégios elevados. Proporcionam forte segurança, mas podem aumentar os custos de equipamento, formação e suporte ao helpdesk — especialmente quando os utilizadores perdem as suas chaves físicas e precisam de recuperar a conta. As chaves de acesso na aplicação Microsoft Authenticator são outra opção para estes grupos de utilizadores.
Para a maioria dos utilizadores — aqueles fora de ambientes altamente regulados ou sem acesso a sistemas sensíveis — as chaves de acesso sincronizadas oferecem uma alternativa conveniente e de baixo custo ao MFA tradicional. A Apple e a Google implementaram proteções avançadas para chaves de acesso armazenadas nas suas clouds.
Independentemente do tipo — ligado ao dispositivo ou sincronizado — as chaves de acesso representam uma melhoria significativa de segurança em relação aos métodos MFA PHISHABLE.
Para mais detalhes, consulte Comece com a implementação de MFA resistente a phishing no Microsoft Entra ID.