O que é e por que usar uma chave de segurança física?

É cada vez mais raro um serviço online que não utilize métodos de autenticação de dois fatores, o que aumenta em alguns casos consideravelmente a segurança do mesmo.

No entanto, por algumas razões, não basta ou é preciso ir um pouco além e é quando uma alternativa tem se apresentado como adequado. Estamos falando das chaves de segurança físicas.

O que é uma chave física, quais seus usos, como funcionam e quem deve usar, é o que pretendemos responder nesse post.

O que é uma chave de segurança física ou por hardware?

Para aqueles que não conhecem nada a respeito, pela pergunta já é possível deduzir que constitui um dispositivo físico e, portanto, um componente de hardware que funciona como elemento de segurança no procedimento de autenticação de um serviço ou até mesmo de outro dispositivo, como por exemplo, um notebook com Windows.

Fisicamente falando, uma security key – como também as vezes é referenciada – é nada mais do que um pequeno objeto e que muitas vezes lembra um pendrive, sendo que dependendo do fabricante pode ter dimensões muito reduzidas e parecerem-se com os minúsculos receptores USB de mouses e teclados sem fio.

Chave de segurança física

Por isso, você pode deduzir que são inseridos nas conexões USB do seu notebook ou desktop, ou até mesmo do smartphone, nos casos de modelos disponíveis para esse tipo de utilização.

Como componente de hardware, dentro há um chip responsável pela rotina de armazenar as chaves privadas que são exigidas no processo de autenticação. Ou seja, em vez de se fornecer uma segunda informação além dos tradicionais usuário e senha para efetuar o log in ou autenticação em um serviço, ao utilizar a chave, a liberação ocorre usando o processo gravado no dispositivo para a conta em questão.

É portanto, um segundo método de autenticação.

Serviços de e-mail como o Outlook, redes sociais como o Facebook, apps de e-commerce, corretoras de criptomoeda, gerenciadores de senhas (ex: LastPass ou Bit Warden) e vários outros serviços online, ou como já mencionamos, até o Windows, permitem usar uma chave física como segundo fator em métodos 2FA / TFA (Two-Factor Authentication).

É possível usar uma mesma chave de hardware para uma infinidade de serviços e contas neles.

Na prática, significa que quando o segundo fator é solicitado, não é preciso digitar um código recebido por SMS ou gerado por um app autenticador, como o Microsoft Authenticator, mas apenas inserir a chave na USB do seu dispositivo e que dependendo do modelo e fabricante, pode requerer um toque em um botão ou a leitura da sua digital (biometria).

Como funciona uma chave de segurança ou de hardware?

Sendo um componente de hardware, é preciso realizar a conexão, a qual pode ser de modo físico e que dependendo do modelo e fabricante, ocorre por USB convencional (USB-A), USB-C, micro USB ou Lightning (Apple), ou também por ser sem fio, usando a tecnologia NFC (Near Field Communication) em que a troca de dados ocorre por aproximação e é a mesma presente em smartphone, smartwatches e cartões para pagamentos.

Dentro da chave há um chip que é responsável por ter o sistema que faz o gerenciamento das transações e algoritmo envolvido, bem como os dados armazenados, como por exemplo, as chaves públicas criptografadas.

Quando a conexão é estabelecida com o serviço e/ou com o dispositivo (ex: notebook), o processo de autenticação é iniciado e que pode exigir etapas adicionais, como por exemplo, que se coloque o dedo cuja digital foi cadastrada no sensor biométrico.

Logo, é usado como um segundo fator baseado em posse.

Quanto às próprias chaves, elas funcionam offline e não precisam ser carregadas.

Quando é possível usar uma chave física para autenticação?

Só é possível usar uma chave física ou de hardware para autenticação, em serviços / dispositivos que aceitam MFA, ou seja, dão a possibilidade de escolha ao usuário na determinação de qual será o segundo fator, entre diferentes opções.

Mais do que isso, mesmo alguns serviços do tipo, entre as alternativas disponíveis, não constam as chaves físicas.

No entanto, a maioria dos mais populares já oferece esse método.

Importante ressaltar também, que aqueles que permitem selecioná-las como opção, podem ter limitações quanto ao tipo, já que existem padrões diferentes, sendo que o mais recente e utilizado, é o FIDO2 (Fast Identity Online) e que nada mais é do que um conjunto de diretrizes básicas e requisitos padrão, de tal forma que todo fabricante que crie uma chave, ela deva ser compatível com os serviços que usam esse método de autenticação.

O FIDO2 é tido como o mais seguro atualmente e constitui uma evolução do anterior – o Universal 2nd Factor (U2F). É criptografado, privado e anônimo.

Quem deve usar uma chave de segurança física (hardware)?

Todos aqueles para os quais o acesso a sistemas ou serviços requer elevados níveis de segurança ou que o comprometimento da autenticação, pode gerar perdas significativas.

Isso porque apesar de não constituir um método 100% eficaz quanto a segurança no mundo digital, fortalece-a muito comparativamente aos demais.

Por exemplo, se o segundo fator é um SMS, a clonagem do celular é uma maneira de se obter acesso. Ou ainda, algum rastro digital que tenha permitido descobrir perguntas secretas / desafios.

No caso da chave física, só o seu roubo / furto, permite que o acesso seja feito. Em outras palavras, só o acesso físico permite avançar no acesso, fazendo com que as demais causas de vulnerabilidades, como phishing ou malwares, não surtam o efeito desejado para os criminosos virtuais.

Porém, é preciso destacar que há uma outra vulnerabilidade e que ocorre não por conta da chave em si, mas por parte do serviço que a utiliza. Algumas opções de MFA, permitem escolher no momento da autenticação, qual o segundo fator a ser usado e nesse caso, o invasor pode optar por algum que não seja a chave e que ele tenha conseguido burlar (ex: SMS).

Quais as desvantagens de usar uma chave de segurança física (hardware)?

Nada é só vantagem e não é diferente com as security keys e, portanto, pode não constituir a melhor solução para todo mundo e todas as situações:

1. Custo

Não é das soluções mais acessíveis em termos de custo. Isso porque ainda não há nenhum fabricante nacional ou revendedor autorizado por aqui. E não recomenda-se sua aquisição que não seja diretamente com quem produz ou revendedor oficial da marca.

Ao comprar fora de um canal oficial, não há como ter garantias de que a security key é legítima ou que não tenha sofrido alguma adulteração que comprometa sua segurança e o funcionamento que se espera.

Lá fora, os valores são acessíveis e as mais simples podem ser adquiridas a partir de US$ 20,00.

Comprando pela Internet, os valores convertidos de acordo com o câmbio e somados a eventuais taxas (ex: frete), dificilmente saem por menos de R$ 400,00 e dependendo do modelo, pode ficar bem mais caro.

E ainda há outro fator que pode tornar o custo verdadeiramente proibitivo e que está relacionado à próxima desvantagem.

2. Ter 2 ou mais chaves físicas de segurança

No caso de perda, extravio, roubo ou dano físico e, portanto, quando por qualquer motivo não se tem mais a chave, os serviços nos quais ela é usada e que foram configurados para não aceitar outro fator, ficarão permanentemente inacessíveis.

Isso é contornado tendo-se pelo menos duas chaves, sendo que a segunda deve ser guardada em um local seguro.

Logo, não é raro que especialmente empresas ou aqueles que não podem correr tal risco, tenham duas, três ou até mais chaves, sendo que as adicionais servem como um backup de segurança da principal.

Portanto, pelo menos dobra-se o custo.

3. Poucos fabricantes

Não há muitos fabricantes, pelo menos entre os mais aceitos e recomendados, o que acaba somando-se ao que vimos até aqui como desvantagens.

A Yubico desponta como a principal fornecedora de soluções no segmento, mas entre outros nomes que também constituem alternativas confiáveis no mercado, há a Thetis, a SoloKeys e a Google Titan.

4. Não disponível universalmente

Embora não seja uma desvantagem propriamente relacionada com a security key, de certa forma constitui um empecilho ao seu uso amplo.

Mesmo sendo poucos os casos, ainda há serviços e dispositivos que não permitem usá-las para reforçar a segurança, como é o caso do WordPress, que só permite 2FA por plugins ou mesmo smartphones mais antigos ou mais simples que não têm NFC, ou nos aparelhos da Apple, que exigem uma chave razoavelmente mais cara.

Conclusão

Chaves de segurança físicas, são uma das melhores alternativas em termos de segurança ao se habilitar métodos de autenticação de dois fatores.

Artigos relacionados

WordPress
Os 5 melhores plugins de segurança para WordPress
WordPress
Os melhores plugins gratuitos para um blog WordPress
WordPress
Wordpress é seguro? Como melhorar a sua segurança?

Comentários ({{totalComentarios}})