Entenda o que são as passkeys e como elas podem substituir as senhas tradicionais.
Microsoft confirma: Passkeys são o futuro da autenticação
As senhas tradicionais estão cada vez mais vulneráveis a ataques cibernéticos, como phishing e vazamento de dados, enquanto a complexidade exigida muitas vezes resulta em combinações fracas ou reutilizadas. Esses problemas geram a necessidade urgente de métodos de autenticação mais seguros e práticos. Nesse cenário, as passkeys se destacam como uma solução promissora para a segurança digital, conforme apresentado pela Microsoft em maio de 2024.
O que são passkeys?
As passkeys são um método avançado de autenticação baseado em criptografia de chave pública. Elas utilizam fatores biométricos, como impressões digitais ou reconhecimento facial, ou um PIN específico do dispositivo. Ao contrário das senhas convencionais, as passkeys são geradas automaticamente e vinculadas exclusivamente a um usuário e dispositivo, tornando-se impossíveis de serem reutilizadas ou roubadas.
Essa tecnologia elimina a necessidade de lembrar combinações complexas ou correr o risco de vazamentos em ataques de força bruta. Sua estrutura única combina segurança robusta com uma experiência de uso simplificada.
Como funcionam as passkeys?
Quando um usuário acessa um serviço que suporta passkeys, o dispositivo cria um par de chaves criptográficas:
- Chave pública: enviada para o servidor e usada para identificar o usuário.
- Chave privada: armazenada localmente no dispositivo e protegida por biometria ou PIN.
No momento da autenticação, o servidor emite uma solicitação que só pode ser respondida pela chave privada. Esse processo garante a identidade do usuário sem compartilhar informações sensíveis.
Por serem vinculadas ao dispositivo, as passkeys atuam como uma solução multifatorial, aumentando a proteção contra ataques e adaptando-se ao ambiente do usuário.
Vantagens
As passkeys oferecem diversos benefícios que superam as limitações das senhas tradicionais:
- Resistência a ataques: Sem senhas para serem digitadas ou adivinhadas, as passkeys são imunes a ataques de força bruta e phishing.
- Praticidade: Com apenas um toque ou reconhecimento facial, a autenticação é realizada de forma rápida e intuitiva.
- Eliminação de memorização: Não há necessidade de lembrar combinações complicadas ou redefinir senhas frequentemente.
- Segurança avançada: A autenticação por chave pública evita o compartilhamento de informações sensíveis, reduzindo o risco de vazamentos.
Além disso, essa tecnologia facilita a detecção de fraudes, pois é capaz de identificar acessos não autorizados com mais eficácia.
Desafios na adoção
Embora promissoras, as passkeys enfrentam obstáculos significativos:
- Compatibilidade: A implementação da tecnologia em diferentes serviços e dispositivos ainda é limitada.
- Segurança do dispositivo: A proteção da chave privada depende diretamente da segurança física e digital do aparelho usado.
- Educação do usuário: Muitos usuários ainda desconhecem essa solução, exigindo esforços para conscientização e treinamento.
Com o tempo, espera-se que esses desafios sejam superados à medida que mais empresas e desenvolvedores adotem padrões universais para passkeys.
O futuro da autenticação com passkeys
A expectativa é que, em breve, as passkeys substituam as senhas em larga escala, revolucionando o conceito de segurança digital. Combinadas a outras inovações, como inteligência artificial, elas têm o potencial de criar sistemas de autenticação ainda mais robustos.
A integração com serviços de pagamento, redes sociais e plataformas corporativas promete reduzir drasticamente problemas relacionados a roubos de credenciais. Essa tecnologia não apenas aumenta a proteção, mas também proporciona uma experiência de uso muito mais fluida.
As passkeys estão moldando o futuro da autenticação digital, oferecendo uma solução que combina segurança avançada e praticidade. Ao eliminar a dependência de senhas vulneráveis, elas prometem uma internet mais segura para todos os usuários.
A Microsoft e outras gigantes da tecnologia já estão liderando o caminho para essa transformação, que poderá marcar o fim das senhas tradicionais como as conhecemos.
Por Humberto Gonçalves de Oliveira, consultor de cibersegurança na Protiviti Brasil.
De assistentes digitais pessoais a veículos autônomos, a Inteligência Artificial (IA) está revolucionando a forma como interagimos com a tecnologia e uns com os outros. Nesse cenário, o Microsoft Copilot e o ChatGPT da Open AI estão na vanguarda, aproveitando tecnologias transformadoras como Generative Pretrained Transformers (GPT) e Large Language Models (LLM). Essas ferramentas avançadas aproveitam o processamento de linguagem natural para entender e gerar respostas semelhantes às humanas a partir de grandes quantidades de dados, executando uma ampla gama de tarefas, como análise de sentimentos, resposta a perguntas, resumo e geração de imagens e textos. À medida que continuamos a explorar as fronteiras na inovação da IA, as tendências sugerem um futuro cada vez mais guiado por essas plataformas poderosas que não apenas aprimoram nossas habilidades, mas também moldam um futuro em que a influência da IA irá permear todos os aspectos de nossas vidas.
IA e LLMs oferecem benefícios importante para empresas que desejam aproveitar o poder da linguagem natural para seus negócios. Essas ferramentas podem ajudar as empresas a aperfeiçoarem seu atendimento ao cliente, aumentar a produtividade, otimizar processos, gerar insights e agregar valor aos negócios. No entanto, IA e LLMs também representam desafios significativos para empresas que desejam usá-los de forma eficaz e responsável.
Isso porque elas exigem muitos dados, poder de computação e experiência para treinar, implantar e manter. Tanto a IA quanto os LLMs também levantam questões sobre questões éticas, legais e sociais, como privacidade de dados, segurança, preconceito, justiça, responsabilidade e transparência. É importante observar que os LLMs não são necessariamente treinados para precisão: em vez disso, eles são treinados para fornecer a próxima melhor resposta de conversação a uma consulta. A quantidade de dados que precisam ser gerenciados e governados está crescendo exponencialmente e, com o início da IA generativa, a geração de novos dados não estruturados está impactando significativamente a como os dados são registrados, descobertos, protegidos, monitorados, auditados e principalmente terem sua veracidade confirmada.
Governança e gestão dos ativos de IA
O Microsoft Purview é o conjunto de soluções de segurança de dados da Microsoft que fornece um único local para descobrir, proteger e gerenciar dados em todo o ambiente corporativo para privacidade de dados, conformidade regulatória e segurança cibernética. Esta ferramenta permite que os usuários descubram, protejam e monitorem prompts e respostas, usando dados de IA generativa em ferramentas internas e externas.
Essas soluções são essenciais para que a IA opere de maneira gerenciada e controlada, mas também são relevantes para as empresas que estão adotando rapidamente a tecnologia sem os devidos controles de uso, compartilhamento e exportação de dados. A Microsoft anunciou recentemente o Microsoft AI Hub, que aproveita os recursos do MS Purview para identificar, proteger e gerenciar o uso de IA de uma organização em um único dashboard de indicadores.
Entre os principais recursos do MS Purview AI Hub estão a capacidade de inventariar atividades de IA generativa, incluindo o uso de dados confidenciais em uma ampla variedade de aplicativos e sites. A ferramenta permite proteger as interações do Copilot impedindo o acesso não autorizado confidencial de dados confidenciais e, mais especificamente, o Hub de IA do MS Purview pode monitorar, alertar ou até mesmo impedir que os usuários enviem informações confidenciais para sites de IA generativa. Além disso, ele também permite detectar e mitigar riscos de negócios e violações regulatórias enquanto o uso do AI Hub generativo no Purview, que permite a análise de riscos e impacto do uso de algoritmos de IA, ajuda os usuários a superarem esses desafios de e maximizar os benefícios de sua utilização nas empresas.
O Hub de IA do Microsoft Purview e as políticas que ele monitora estejam vinculadas ao DLP, exigindo que os dispositivos sejam integrados a esta plataforma. O AI Hub disponibiliza políticas integradas que podem ser ativadas e personalizadas para definir o escopo para usuários/grupos específicos e adaptá-las aos requisitos organizacionais. As políticas internas incluem:
- Descoberta de prompts confidenciais em assistentes de IA;
- Detectação quando os usuários acessam o navegador da Web para utilizar outros assistentes de IA;
- Habilitação da proteção em assistentes de IA por meio da integração com o Gerenciamento de Riscos Internos do Microsoft Purview.
Os administradores e as equipes de proteção de dados também podem usar o Gerenciador de Atividades do Microsoft Purview para monitorar as interações de IA dos usuários e ser alertados quando uma regra DLP corresponder à interação de um usuário com um site de IA generativa. As principais preocupações dos líderes de segurança incluem riscos éticos, legais e regulatórios da utilização da IA.
À medida que as organizações aumentam a adoção de recursos de IA, regulamentações adicionais serão promulgadas para apoiar a utilização responsável e, ao mesmo tempo, proteger dados pessoais confidenciais. Embora o AI Act Europeu, juntamente com as estruturas com o NIST AI e a ISO 42.001, forneçam orientação para adoção, identificação e mitigação de riscos, é fundamental desenvolver uma estrutura de governança para IA que considere as implicações em seu modelo de negócios e do funcionamento de segmento de atuação.
Microsoft Purview: suporte à AI
Para assegurar a integração entre o monitoramento proativo e a necessidade de governança de IA, os novos modelos de IA Premium do Microsoft Purview Compliance Manager oferecem uma solução estratégica para gerenciar e relatar o risco de conformidade de IA, garantindo que utilização ética e legal da IA esteja alinhada com os padrões organizacionais e os regulamentos futuros. O Gerenciador de Conformidade do Microsoft Purview dá suporte à conformidade de IA por meio de quatro novos modelos de IA Premium para ajudar a avaliar, gerenciar e relatar os riscos de conformidade de IA. Esses modelos identificam as melhores práticas, monitoram as interações de IA, evitam o compartilhamento inadequado de dados confidenciais em aplicativos de IA e gerenciam políticas de retenção e exclusão para interações de IA. O Gerenciador de Conformidade inclui monitoramento em tempo real em aplicativos Multicloud e Software as a Service (SaaS), podendo ser revisado como parte de um programa completo de governança de IA.
O Copilot para Microsoft 365 permite otimizar o acesso a dados não estruturados em toda a organização, visto que a implantação e a utilização exigem acesso a dados atuais e relevantes. No entanto, a maioria das organizações têm dificuldades em evitar a proliferação, o gerenciamento e a proteção de dados. À medida que as organizações avançam para adotar a IA, o foco crítico deve ser aplicado para garantir um forte gerenciamento de dados em toda a empresa. Isso inclui a remoção de dados obsoletos e desatualizados, a proteção de dados críticos e confidenciais e a identificação proativa do uso inadequado.
Os recursos de Gerenciamento de Registros e Ciclo de Vida de Dados do Microsoft Purview permitem que as organizações descartem de forma defensável os dados que não são mais necessários. Ao aproveitar políticas e rótulos nessas ferramentas, as organizações podem permanecer em conformidade com os regulamentos de retenção de dados, reduzir sua superfície de ataque descartando dados que não são mais necessários e permitir que o Copilot para Microsoft 365 acesse as informações mais relevantes e atualizadas para fornecer as respostas mais relevantes e úteis.
O Microsoft Purview eDiscovery Premium permite que as equipes jurídicas e de descoberta eletrônica descubram quais tipos de informações os usuários estão inserindo nos prompts do Copilot para Microsoft 365 e quais tipos de respostas estão recebendo. Esse é um recurso essencial ao investigar o possível uso mal-intencionado de IA em organizações ou realizar avaliações de conformidade sobre como as informações estão sendo compartilhadas por meio da IA generativa.
O AI Hub no Purview, juntamente com os recursos de proteção de dados do Purview, fornece uma nova maneira de gerenciar ativos de IA com responsabilidade, com foco na segurança e na conformidade.
–
Baseado no artigo original escrito por: Patrick Anderson, MD Protiviti; Patrick Anderson, MD Security & Privacy; Antonio Maio, MD Microsoft.