Por *Jan Bee, CISO da TeamViewer.<\/p>\n\n\n\n
A maioria das viola\u00e7\u00f5es modernas come\u00e7a com credenciais roubadas e, em muitos casos, o caminho de entrada \u00e9 surpreendentemente simples.<\/p>\n\n\n\n
Imagine o seguinte cen\u00e1rio: um funcion\u00e1rio recebe uma mensagem convincente com um link para o que parece ser uma p\u00e1gina de login leg\u00edtima. A identidade visual est\u00e1 correta, o processo soa familiar e o trabalhador digita seu nome de usu\u00e1rio e senha. Uma notifica\u00e7\u00e3o push de Autentica\u00e7\u00e3o Multifator (MFA, sigla em ingl\u00eas para Multi-Factor Authentication) aparece e \u00e9 aprovada, muitas vezes em um momento de distra\u00e7\u00e3o. Nos bastidores, um token de sess\u00e3o \u00e9 interceptado e reutilizado, permitindo que o hacker obtenha acesso sem explorar uma \u00fanica vulnerabilidade de software \u2014 ou seja, o ataque \u00e9 conclu\u00eddo com sucesso.<\/p>\n\n\n\n
Atualmente, kits de phishing prontos para uso permitem que os cibercriminosos lancem campanhas convincentes de forma r\u00e1pida e repetida, enquanto a Intelig\u00eancia Artificial (IA) ajuda a refinar a linguagem e imitar o tom com o m\u00ednimo de esfor\u00e7o. T\u00e9cnicas para contornar a MFA s\u00e3o compartilhadas abertamente e reempacotadas. Apesar da sofistica\u00e7\u00e3o crescente desses ataques, as senhas continuam sendo a principal linha de defesa para o acesso a sistemas cr\u00edticos em muitas organiza\u00e7\u00f5es.<\/p>\n\n\n\n
A dist\u00e2ncia entre os m\u00e9todos de ataque modernos e os controles de autentica\u00e7\u00e3o legados n\u00e3o para de crescer.<\/p>\n\n\n\n
Constru\u00eddas para uma Era Diferente
As senhas foram criadas para um ambiente muito diferente, no qual os usu\u00e1rios trabalhavam dentro de redes definidas e em dispositivos gerenciados \u2013 normalmente dentro dos limites do escrit\u00f3rio.<\/p>\n\n\n\n
Hoje, o trabalho remoto e distribu\u00eddo trouxe flexibilidade e efici\u00eancia \u00e0s equipes, mas tamb\u00e9m exige que os controles de autentica\u00e7\u00e3o evoluam para proteger esse ambiente din\u00e2mico. As organiza\u00e7\u00f5es v\u00eam respondendo a essa nova realidade refor\u00e7ando as regras de senha, encurtando os ciclos de redefini\u00e7\u00e3o e adicionando camadas de MFA e pol\u00edticas de acesso condicional. S\u00e3o medidas que geram sinais \u00fateis e introduzem atrito, mas a fragilidade subjacente permanece: se uma senha \u00e9 capturada, ela ainda tem valor.<\/p>\n\n\n\n
Na pr\u00e1tica, senhas podem ser facilmente capturadas, o que refor\u00e7a a necessidade de m\u00e9todos de autentica\u00e7\u00e3o mais avan\u00e7ados.<\/p>\n\n\n\n
Na pesquisa Digital Friction 2025 da TeamViewer, 80% dos funcion\u00e1rios relataram problemas de autentica\u00e7\u00e3o no ano passado, incluindo quest\u00f5es com senhas e bloqueios de conta. Esse \u00e9 exatamente o tipo de atrito digital que leva a solu\u00e7\u00f5es alternativas arriscadas e fragiliza os controles.<\/p>\n\n\n\n
A Ilus\u00e3o de Controle
A pol\u00edtica de senhas h\u00e1 muito tempo \u00e9 vista como uma salvaguarda b\u00e1sica. Mas, na realidade, ela frequentemente cria trabalho extra sem reduzir o risco de forma significativa.<\/p>\n\n\n\n
Redefini\u00e7\u00f5es frequentes e regras complexas de composi\u00e7\u00e3o moldam o comportamento dos usu\u00e1rios de maneiras previs\u00edveis. As pessoas anotam senhas, reutilizam pequenas varia\u00e7\u00f5es em diferentes sistemas ou as armazenam em arquivos n\u00e3o protegidos. P\u00e1ginas de phishing continuam coletando-as em larga escala, enquanto as centrais de atendimento lidam com um fluxo constante de bloqueios e solicita\u00e7\u00f5es de redefini\u00e7\u00e3o.<\/p>\n\n\n\n
Al\u00e9m disso, digitar a senha correta apenas comprova que a sequ\u00eancia certa de caracteres foi inserida, o que n\u00e3o confirma se o dispositivo \u00e9 confi\u00e1vel ou se a sess\u00e3o est\u00e1 sendo roteada por infraestrutura maliciosa.<\/p>\n\n\n\n
Em um ambiente de Software como Servi\u00e7o (SaaS), com equipes distribu\u00eddas e amplo acesso de parceiros, esse modelo baseado apenas em senhas mostra suas limita\u00e7\u00f5es. Os logins acontecem constantemente, cada um carregando um contexto que precisa ser avaliado em tempo real. No entanto, as senhas oferecem pouca visibilidade sobre esse panorama de risco mais amplo.<\/p>\n\n\n\n
Identidade como Plano de Controle
Os limites de rede j\u00e1 n\u00e3o definem a seguran\u00e7a corporativa. Agora \u00e9 a identidade que carrega esse peso.<\/p>\n\n\n\n
Cada conta de usu\u00e1rio \u00e9 uma porta de entrada em potencial para a organiza\u00e7\u00e3o, e cada dispositivo usado para fazer login introduz um grau de incerteza. Quando o acesso \u00e9 compartilhado entre parceiros ou plataformas externas, esse c\u00edrculo de confian\u00e7a se expande ainda mais. N\u00e3o \u00e9 por acaso que os criminosos cibern\u00e9ticos concentram seus esfor\u00e7os na identidade. Em vez de tentar romper uma infraestrutura blindada, eles buscam maneiras de assumir o controle de sess\u00f5es leg\u00edtimas ou manipular fluxos de autentica\u00e7\u00e3o para obter acesso.<\/p>\n\n\n\n
Plataformas de identidade centralizadas ajudam a racionalizar o acesso, mas, n\u00e3o raro, herdam fatores de autentica\u00e7\u00e3o legados. Um \u00fanico caminho vulner\u00e1vel pode comprometer um ambiente que, de outra forma, seria maduro, principalmente quando envolve contas de servi\u00e7o, dispositivos n\u00e3o gerenciados ou exce\u00e7\u00f5es de aplicativos.<\/p>\n\n\n\n
Para os l\u00edderes de seguran\u00e7a, essa mudan\u00e7a reformula a conversa. A estrat\u00e9gia de identidade agora sustenta a detec\u00e7\u00e3o, a resposta e a governan\u00e7a. Se a autentica\u00e7\u00e3o pode ser reproduzida ou intermediada por um proxy, a visibilidade sobre o risco sempre ser\u00e1 incompleta.<\/p>\n\n\n\n
A quest\u00e3o n\u00e3o \u00e9 mais se as senhas s\u00e3o falhas, mas sim se elas s\u00e3o adequadas ao panorama atual de amea\u00e7as cibern\u00e9ticas.<\/p>\n\n\n\n
Eliminando a Informa\u00e7\u00e3o Secreta Compartilhada
A autentica\u00e7\u00e3o resistente a phishing enfrenta o problema eliminando completamente o dado sigiloso reutiliz\u00e1vel.<\/p>\n\n\n\n
Passkeys e credenciais vinculadas a dispositivos n\u00e3o transmitem senhas pela rede. Em vez disso, dependem de chaves criptogr\u00e1ficas armazenadas com seguran\u00e7a no dispositivo do usu\u00e1rio. Ao fazer login, o dispositivo atesta sua identidade sem enviar nada que possa ser copiado ou reutilizado, enquanto recursos biom\u00e9tricos, como reconhecimento de impress\u00e3o digital ou facial, confirmam a presen\u00e7a do usu\u00e1rio autorizado.<\/p>\n\n\n\n
Sem uma informa\u00e7\u00e3o secreta compartilhada para interceptar \u2014 ou seja, sem uma senha que precise trafegar entre usu\u00e1rio e sistema, podendo ser capturada nesse trajeto \u2014, ataques do tipo adversary-in-the-middle (express\u00e3o em ingl\u00eas para \u201cadvers\u00e1rio no meio\u201d, quando o invasor se posiciona entre as duas partes da comunica\u00e7\u00e3o para roubar dados em tr\u00e2nsito) perdem boa parte de sua efic\u00e1cia. Da mesma forma, t\u00e9cnicas como credential stuffing (express\u00e3o em ingl\u00eas para o uso em massa de credenciais vazadas em outras invas\u00f5es) e password spraying (express\u00e3o em ingl\u00eas para testes de senhas comuns em diversas contas) se tornam irrelevantes quando as senhas simplesmente deixam de existir.<\/p>\n\n\n\n
A ado\u00e7\u00e3o exige planejamento cuidadoso, principalmente em ambientes nos quais sistemas legados ainda dependem de credenciais tradicionais. Ir al\u00e9m das senhas n\u00e3o \u00e9 apenas uma mudan\u00e7a t\u00e9cnica, mas tamb\u00e9m comportamental. Os funcion\u00e1rios precisam entender claramente por que a autentica\u00e7\u00e3o est\u00e1 evoluindo e como os novos m\u00e9todos afetar\u00e3o sua rotina di\u00e1ria. Com transpar\u00eancia na comunica\u00e7\u00e3o e suporte pr\u00e1tico, a resist\u00eancia tende a dar lugar \u00e0 familiaridade.<\/p>\n\n\n\n
Com o tempo, a autentica\u00e7\u00e3o resistente a phishing cria uma abordagem mais consistente e resiliente para o acesso. Ela tamb\u00e9m fortalece as opera\u00e7\u00f5es do dia a dia. Os usu\u00e1rios deixam de precisar memorizar sequ\u00eancias complexas ou gerenciar trocas constantes de senha, a recupera\u00e7\u00e3o de contas se torna mais simples, e as equipes de seguran\u00e7a podem concentrar sua aten\u00e7\u00e3o na confian\u00e7a dos dispositivos e na gest\u00e3o de seu ciclo de vida, em vez da aplica\u00e7\u00e3o de pol\u00edticas de senha.<\/p>\n\n\n\n
Uma Quest\u00e3o de Resili\u00eancia
As fragilidades de autentica\u00e7\u00e3o afetam mais do que o ponto de entrada, pois tamb\u00e9m influenciam a velocidade com que uma organiza\u00e7\u00e3o consegue retomar o controle depois que um incidente come\u00e7a a se desenrolar.<\/p>\n\n\n\n
Quando invasores obt\u00eam acesso por meio de credenciais roubadas, muitas vezes \u00e9 dif\u00edcil determinar at\u00e9 onde eles avan\u00e7aram ou quais sess\u00f5es ainda podem ser consideradas confi\u00e1veis. A confian\u00e7a nos sinais de identidade se erode. A conten\u00e7\u00e3o normalmente envolve redefini\u00e7\u00f5es massivas de senhas e revoga\u00e7\u00f5es de sess\u00e3o, gerando disrup\u00e7\u00e3o justamente no momento em que clareza e estabilidade s\u00e3o mais necess\u00e1rias.<\/p>\n\n\n\n
Fortalecer a autentica\u00e7\u00e3o antes que um incidente ocorra \u00e9, portanto, central para a resili\u00eancia. Diminuir a depend\u00eancia de senhas e introduzir m\u00e9todos resistentes a phishing, como passkeys ou credenciais baseadas em hardware vinculadas a dispositivos gerenciados, limita a utilidade de credenciais roubadas e reduz a incerteza durante a resposta.<\/p>\n\n\n\n
Em vez de se basearem em algo que a pessoa sabe, essas abordagens dependem da seguran\u00e7a do pr\u00f3prio dispositivo, oferecendo uma base mais s\u00f3lida e est\u00e1vel para a confian\u00e7a.<\/p>\n\n\n\n
As senhas permanecem amplamente utilizadas porque s\u00e3o familiares e f\u00e1ceis de implementar. No entanto, em um cen\u00e1rio de amea\u00e7as centrado na captura de identidade, confiar apenas em segredos reutiliz\u00e1veis aumenta a exposi\u00e7\u00e3o desnecess\u00e1ria, principalmente \u00e0 medida que o ecossistema de identidades e parceiros com acesso a sistemas cr\u00edticos continua se expandindo.<\/p>\n\n\n\n
Superar o uso de senhas representa uma reformula\u00e7\u00e3o de como a confian\u00e7a \u00e9 estabelecida em ambientes distribu\u00eddos.<\/p>\n\n\n\n
\u00c0 medida que a IA acelera a escala e a precis\u00e3o dos ataques baseados em identidade, a autentica\u00e7\u00e3o precisa evoluir na mesma propor\u00e7\u00e3o. Aqueles que eliminarem o \u2018segredo\u2019 reutiliz\u00e1vel estar\u00e3o em melhor posi\u00e7\u00e3o para refor\u00e7ar a resili\u00eancia e atender \u00e0s expectativas crescentes de reguladores, clientes e demais partes interessadas.<\/p>\n","protected":false},"excerpt":{"rendered":"
Por *Jan Bee, CISO da TeamViewer. A maioria das viola\u00e7\u00f5es modernas come\u00e7a com credenciais roubadas e, em muitos casos, o caminho de…<\/p>\n","protected":false},"author":30,"featured_media":81510,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1970],"tags":[],"ppma_author":[13239],"class_list":{"0":"post-81509","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tecnologia"},"yoast_head":"\n