Relatos recentes mostraram que atacantes têm encontrado maneiras de contornar passkeys sincronizadas entre dispositivos, colocando em risco a conveniência da autenticação sem senha. Passkeys são um avanço importante, mas dependem de sincronização, recuperação e configurações de conta que, se mal geridas, abrem vetores de ataque. Para empresas, compreender esses riscos é o primeiro passo para proteger identidades e dados críticos.
Nas investigações, diferentes vetores aparecem com destaque: abuso de contas em nuvem que armazenam chaves, sincronização ativada sem proteção adicional, e fluxos de recuperação que permitem restaurar credenciais em dispositivos não autorizados. Organizações com gestão descentralizada de dispositivos e políticas incompletas ficam mais expostas, assim como ambientes que dependem exclusivamente da configuração padrão de provedores e navegadores. Auditorias em provedores de identidade, validação das integrações com navegadores e testes práticos nos fluxos de autenticação são essenciais para mapear a exposição real.
Os impactos de uma violação via passkeys sincronizadas vão além do acesso indevido: podem resultar em roubo de dados, interrupção de serviços e perdas financeiras e de reputação. Para reduzir esses riscos, combine avaliações técnicas com políticas claras: classifique ativos críticos, aplique controles de acesso por função, implemente autenticação de hardware quando possível e restrinja recuperação de conta a processos administrativos monitorados. Treinamentos regulares ajudam equipes a identificar sinais de comprometimento e evitar práticas inseguras, como compartilhar dispositivos ou usar contas pessoais para autenticação corporativa.
Dica prática: desative a sincronização automática de passkeys em contas corporativas, exija proteção de sincronização com autenticação forte (MFA ou verificação por hardware), limite o uso de contas pessoais para gerenciamento de credenciais e imponha processos de recuperação com verificações adicionais. Realize pentests focados em fluxos de autenticação, monitore tentativas anômalas de registro de dispositivos e mantenha sistemas e navegadores atualizados.
Concluir que passkeys são uma evolução importante da autenticação, mas não substituem uma governança adequada. Empresas devem revisar políticas de sincronização, testar fluxos de recuperação e contar com especialistas para adaptar controles ao risco real. A LC SEC oferece penteste, Threat Intelligence com IA, auditoria interna, conscientização, plano diretor de segurança e estruturação de SGSI para reduzir essa exposição — fale conosco para avaliação personalizada e plano de mitigação contínuo. Conheça nossos serviços em lcsec.io
Compartilhe nas redes sociais:
