Métodos de autenticação no Microsoft Entra ID – chaves de passagem (FIDO2)

Ataques remotos de phishing estão aumentando. Esses ataques visam roubar ou retransmitir provas de identidade, como senhas, códigos SMS ou senhas de email único, sem acesso físico ao dispositivo do usuário. Os invasores geralmente usam técnicas de engenharia social, coleta de credenciais ou downgrade para ignorar proteções mais fortes, como chaves de passagem ou chaves de segurança. Com kits de ferramentas de ataque controlados por IA, essas ameaças estão se tornando mais sofisticadas e escalonáveis.

As chaves de acesso ajudam a evitar phishing remoto substituindo métodos phishable, como senhas, SMS e códigos de email. Criadas em padrões FIDO (Fast Identity Online), as chaves de passe usam criptografia de chave pública associada à origem, garantindo que as credenciais não possam ser reproduzidas ou compartilhadas com atores mal-intencionados. Além da segurança mais forte, as chaves de passagem (FIDO2) oferecem uma experiência de entrada sem atrito eliminando senhas, reduzindo prompts e habilitando a autenticação rápida e segura entre dispositivos.

As chaves de passagem (FIDO2) também podem ser usadas para entrar em dispositivos Windows 11 ingressados híbridos do Microsoft Entra ou do Microsoft Entra e fazer logon único em recursos locais e de nuvem.

O que são chaves de passe?

As chaves de acesso são credenciais resistentes a phishing que fornecem autenticação forte e podem servir como um método de MFA (autenticação multifator) quando combinadas com a biometria do dispositivo ou o PIN. Eles também fornecem resistência à representação do verificador, o que garante que um autenticador libere apenas segredos para a RP (Terceira Parte Confiável) com a qual a chave de passagem foi registrada e não um invasor fingindo ser esse RP. As chaves de passagem (FIDO2) seguem os padrões FIDO2, usando WebAuthn para navegadores e CTAP para comunicação do autenticador.

O processo a seguir é usado quando um usuário entra na ID do Microsoft Entra com uma chave de acesso (FIDO2):

1. O usuário inicia a entrada na ID do Microsoft Entra.
2. O usuário seleciona uma chave de acesso:
   • Mesmo dispositivo (armazenado no dispositivo)
   • Entre dispositivos (via código QR) ou uma chave de segurança FIDO2
3. A ID do Microsoft Entra envia um desafio (nonce) ao autenticador.
4. O autenticador localiza o par de chaves usando a ID de RP hash e a ID da credencial.
5. O usuário executa um gesto biométrico ou PIN para desbloquear a chave privada.
6. O autenticador assina o desafio com a chave privada e retorna a assinatura.
7. A ID do Microsoft Entra verifica a assinatura usando a chave pública e emite um token.

Tipos de chaves de acesso

• Chaves de passagem associadas ao dispositivo: a chave privada é criada e armazenada em um único dispositivo físico e nunca a deixa. Exemplos:
  • Microsoft Authenticator
  • Chaves de segurança FIDO2
• Chaves de passagem sincronizadas: a chave privada é armazenada na nuvem de um provedor de chaves de acesso e sincronizada entre dispositivos conectados à mesma conta de provedor de chave de acesso. As chaves de acesso sincronizadas não dão suporte ao atestado. Exemplos:
  • Conjunto de chaves do Apple iCloud
  • Gerenciador de Senhas do Google

As chaves de passagem sincronizadas oferecem uma experiência de usuário perfeita e conveniente, em que os usuários podem usar o mecanismo de desbloqueio nativo de um dispositivo, como rosto, impressão digital ou PIN para autenticar. Com base nos aprendizados de centenas de milhões de usuários consumidores de contas da Microsoft que se registraram e estão usando chaves de passagem sincronizadas, aprendemos:

• 99% de usuários registram com êxito as chaves de passagem sincronizadas
• As chaves de passagem sincronizadas são 14x mais rápidas em comparação com a senha e uma combinação de MFA tradicional: 3 segundos em vez de 69 segundos
• Os usuários são 3x mais bem-sucedidos para entrar com a chave de passagem sincronizada do que os métodos de autenticação herdados (95% versus 30%)
• As chaves de passagem sincronizadas na ID do Microsoft Entra trazem simplicidade de MFA em escala para todos os usuários corporativos. Eles são uma alternativa conveniente e de baixo custo para opções de MFA tradicionais, como SMS e aplicativos autenticadores.

Para obter mais informações sobre como implantar chaves de passagem em sua organização, consulte Como habilitar chaves de passagem sincronizadas.

O atestado verifica a autenticidade do provedor ou dispositivo passkey durante o registro. Quando imposto:

• Ele fornece identidade de dispositivo verificável criptograficamente por meio do Serviço de Metadados FIDO (MDS). Quando o atestado é imposto, as partes confiáveis podem validar o modelo de autenticador e aplicar decisões de política para dispositivos certificados.
• As chaves de passagem não tatuadas, incluindo chaves de passagem sincronizadas e chaves de passagem não associadas ao dispositivo, não fornecem procedência do dispositivo.

Na ID do Microsoft Entra:

• O atestado pode ser imposto no nível do perfil passkey .
• Se o atestado estiver habilitado, somente as chaves de passagem associadas ao dispositivo serão permitidas; as chaves de passagem sincronizadas são excluídas.

Escolha a opção de chave de acesso à direita

As chaves de segurança FIDO2 são recomendadas para setores altamente regulamentados ou usuários com privilégios elevados. Eles fornecem forte segurança, mas podem aumentar os custos de equipamentos, treinamento e suporte de assistência técnica, especialmente quando os usuários perdem suas chaves físicas e precisam de recuperação de conta. As chaves de acesso no aplicativo Microsoft Authenticator são outra opção para esses grupos de usuários.

Para a maioria dos usuários , aqueles fora de ambientes altamente regulamentados ou sem acesso a sistemas confidenciais, as chaves de passagem sincronizadas oferecem uma alternativa conveniente e de baixo custo à MFA tradicional. Apple e Google implementaram proteções avançadas para chaves de passagem armazenadas em suas nuvens.

Independentemente do tipo — associado ao dispositivo ou sincronizado — as chaves de passagem representam uma atualização de segurança significativa em relação aos métodos de MFA phishable.

Para obter mais detalhes, consulte Introdução à implantação de MFA resistente a phishing na ID do Microsoft Entra.

Conteúdo relacionado

• Habilitar chaves de passagem (FIDO2) na ID do Microsoft Entra
• Habilitar perfis passkey na ID do Microsoft Entra
• Habilitar chaves de passagem sincronizadas na ID do Microsoft Entra
• Chaves de passagem no aplicativo Authenticator
• Requisitos de atestado