Quebrando a promessa da PassKe
Palo Alto, Califórnia, 28 de agosto de 2025, Cybernewswire Não é segredo que as senhas são altamente suscetíveis a ataques de phishing e força bruta. Isso levou à adoção em massa de passagens, um método de autenticação sem senha alavancando pares de chaves criptográficas que permitem que os usuários efetuem login com biometria ou uma chave de hardware. De acordo com a FIDO, mais de 15 bilhões de contas foram habilitadas para a Passkey, com 69% dos usuários habilitando globalmente as passagens de passagem em pelo menos uma conta. A promessa da Passkey é simples – elimine senhas, elimine as vulnerabilidades. No entanto, os pesquisadores da Squarex, Shourya Pratap Singh, Daniel Seetoh e Jonathan Lin, revelaram uma grande vulnerabilidade de senha no palco principal do Conf 33 que coloca em risco as contas de aplicativos bancários, compras e saas corporativos. As passagens funcionam usando um par de chaves criptográficas em vez de uma senha. A chave privada é armazenada com segurança no dispositivo do usuário, enquanto a chave pública é armazenada no servidor do site. Ao fazer login, o usuário autentica localmente com sua biometria, chave de hardware local ou um pino para acessar a chave privada. O site verifica essa assinatura com a chave pública correspondente para autenticar o acesso. Esse design fortalece a segurança vinculando a autenticação a um dispositivo e site pré-registrados, eliminando os riscos de senhas roubadas, reutilizadas ou fracas. Criticamente, toda a comunicação entre o servidor e o dispositivo do usuário é transmitida pelo navegador. Em outras palavras, os passagens trabalham sob a suposição de que o navegador é “honesto”. Os pesquisadores da SquareX demonstraram que, por meio de scripts relativamente triviais e extensões de navegador malicioso, os invasores podem interceptar e forjar o processo de registro da Passkey, permitindo que eles acessem contas sem o dispositivo real ou biometria. Mesmo com as passagens registradas, os atacantes podem fazer com que o login da Passkey falhe, forçando os usuários a registrar novamente suas passagens sob um ambiente controlado por atacantes. “As passagens são uma forma de autenticação altamente confiável; portanto, quando os usuários veem um prompt biométrico, eles tomam isso como um sinal de segurança”, diz o pesquisador da Squarex Shourya Pratap Singh, “o que eles não sabem é que os invasores podem facilmente fingir os registros e a autenticação de transmissão. Infelizmente, ferramentas de segurança tradicionais como EDR e SASE/SSE não têm a visibilidade necessária no navegador para detectar as explorações da Passkey. Do ponto de vista do usuário, o ataque é idêntico a um fluxo de trabalho legítimo da Passkey. Em outras palavras, não há indicador visual ou sinal de rede que possa verificar a legitimidade do serviço de autenticação e/ou solicitação. Assim, a única maneira de impedir a exploração é monitorar e bloquear quaisquer scripts e extensões maliciosas diretamente no navegador. Com mais de 80% dos dados corporativos agora residindo nos aplicativos SaaS, as passagens estão emergindo como o método de autenticação dominante para acessar essas plataformas. A pesquisa da Squarex demonstrou que os navegadores representam o ponto vulnerável na segurança da Passkey e fornecem os motivos para vários vetores de ataque que os atores maliciosos podem alavancar para explorar as passagens. Vivek Ramachandran, o fundador da Squarex, compartilha, “Squarex vem pesquisando ativamente novas maneiras pelas quais os invasores exploram os funcionários no navegador. Sem uma camada de segurança do navegador, as passas de sedimentos isoladas podem ser facilmente seqüestradas por invasores para obter um acesso não autorizado a que os aplicativos de saias não se acalmem. navegador ”, que Squarex foi pioneiro.” Como as passagens se estabelecem como o padrão -ouro de autenticação, as empresas devem garantir medidas de segurança robustas para proteger o ambiente em que usuários e passagens operam principalmente – o navegador. Sobre a extensão do navegador da Squarex Squarex transforma qualquer navegador em qualquer dispositivo em um navegador seguro de grau empresarial. A solução do navegador e a resposta do navegador (BDR) da Squarex capacita as organizações a detectar, mitigar e caçar ameaças a ataques da Web do lado do cliente, incluindo extensões de navegador maliciosas, spearphishing avançado, ransomware de navegador, DLP Genai e muito mais. Diferentemente das abordagens de segurança herdada e dos navegadores corporativos complicados, a Squarex se integra perfeitamente aos navegadores de consumo existentes dos usuários, garantindo uma segurança aprimorada sem comprometer a experiência ou a produtividade do usuário. Ao fornecer visibilidade e controle incomparáveis diretamente dentro do navegador, a Squarex permite que os líderes de segurança reduzam sua superfície de ataque, ganhem inteligência acionável e fortalecem sua postura corporativa de segurança cibernética contra o mais novo vetor de ameaça – o navegador. Os usuários podem descobrir mais em www.sqrx.com. Chefe de contato de Prjunice Liewsquarex[email protected]
