Assinala-se hoje, 1 de maio, o Dia Mundial da Password. A data serve de ponto de partida para a reflexão sobre a eficácia dos mecanismos tradicionais de segurança digital. A Sophos, empresa global de cibersegurança, aproveita a ocasião para sublinhar as fragilidades das palavras-passe e dos métodos de autenticação baseados no conhecimento, à luz do aumento da sofisticação dos ataques informáticos em 2025.

Segundo o mais recente relatório Active Adversary da Sophos, as credenciais comprometidas foram a principal causa de ciberataques em 41% dos casos analisados — pelo segundo ano consecutivo. Este dado reforça a urgência de abandonar os sistemas de autenticação dependentes de palavras-passe ou códigos secretos partilhados.

Apesar da crescente adoção de sistemas de autenticação multifator (2FA/MFA), muitos destes métodos continuam vulneráveis a ferramentas como o evilginx2, que permite automatizar ataques de phishing e roubar cookies de sessão.

Para Chester Wisniewski, Director, Global Field CISO da Sophos, o caminho é claro: “Temos de afastar-nos da dependência de palavras-passe e segredos partilhados.” Para este responsável da Sophos, é cada vez mais evidente que prolongar a vida útil das palavras-passe, através de soluções frágeis, representa um risco significativo.

Um novo paradigma: WebAuthn e chaves de acesso

Como alternativa, especialistas em cibersegurança apontam o protocolo WebAuthn como solução viável para substituir os métodos baseados em conhecimento. Este protocolo recorre à geração de chaves criptográficas únicas, armazenadas localmente — a chave pública no servidor e a chave privada no dispositivo do utilizador.

A autenticação deixa, assim, de depender da introdução de palavras-passe. Em vez disso, o utilizador apenas precisa de confirmar fisicamente a sua identidade, por exemplo através de biometria, com recurso a um dispositivo pessoal que contenha a chave privada. O processo é baseado em dois fatores — posse do dispositivo e característica biométrica — mas sem recorrer ao conhecimento do utilizador, o que reduz significativamente a exposição ao phishing.

Outra inovação relevante do WebAuthn é a verificação bidirecional: o servidor também comprova a sua identidade junto do utilizador, através do domínio do website. Esta funcionalidade protege contra redirecionamentos fraudulentos que imitam páginas legítimas.

Desafios e recomendações

Apesar das vantagens, a transição para o WebAuthn requer cautela. A Sophos recomenda que as empresas garantam a segurança dos dispositivos e das plataformas em nuvem onde as chaves são armazenadas. É igualmente essencial assegurar a adoção consistente desta tecnologia em toda a organização. Segundo Chester Wisniewski, “As chaves de acesso representam atualmente a solução mais robusta para construir um futuro sem palavras-passe, sem phishing e, esperamos, sem comprometimentos em grande escala.”

Mesmo com esta abordagem mais robusta, o roubo de cookies de sessão continua a ser uma ameaça ativa. Por isso, a vigilância constante permanece crítica.