Por Jan Bee – CISO da TeamViewer (Foto)
Atualmente, os ciberataques raramente começam com explorações sofisticadas. Mais frequentemente, eles têm início com uma senha.
Apesar de anos de investimentos em segurança, as senhas continuam sendo o ponto de falha mais comum em ambientes corporativos — e uma das formas mais fáceis para cibercriminosos obterem acesso a empresas e seus sistemas. À medida que a reutilização de credenciais, o phishing e os ataques baseados em identidade continuam crescendo, depender de senhas como principal barreira contra ataques virtuais não é apenas ultrapassado: é um risco para os negócios.
Isso é relevante porque as condições para as quais as senhas foram projetadas já não existem. As empresas modernas operam em ambientes SaaS extensos, com forças de trabalho remotas e híbridas, além de integrações constantes com terceiros. O acesso acontece em todo lugar, o tempo todo, e muitas vezes sob pressão. Quando a autenticação atrapalha ou falha, os funcionários procuram atalhos, que criam brechas que hackers exploram rapidamente.
Nos Estados Unidos, mais da metade dos funcionários afirma ter utilizado ferramentas ou dispositivos pessoais quando a tecnologia corporativa falha. Os profissionais perdem, em média, mais de um dia inteiro de trabalho por mês devido a problemas de TI. Nessas condições, o atrito na autenticação não apenas prejudica a produtividade: ele transfere o risco para os usuários que estão apenas tentando realizar seu trabalho.
O verdadeiro problema das senhas
As senhas fracassam não porque os funcionários sejam descuidados, mas porque o próprio modelo em si coloca responsabilidade demais sobre os indivíduos. Requisitos complexos, trocas frequentes e múltiplos prompts aumentam o atrito sem reduzir significativamente a exposição. Comportamentos previsíveis surgem quando senhas são reutilizadas, armazenadas, compartilhadas ou inseridas em páginas de phishing convincentes.
Do ponto de vista da segurança, as senhas também carecem de contexto. Uma senha correta não revela se o acesso vem de um dispositivo confiável, de um ambiente gerenciado ou de uma localização incomum. As equipes de segurança acabam compensando isso com controles adicionais, como monitoramento, alertas e regras de acesso condicional, enquanto a fragilidade central permanece.
O resultado é um fosso cada vez maior entre como os acessos são protegidos e como os agentes maliciosos realmente atuam.
A identidade é hoje a linha de frente
Com o desgaste do perímetro tradicional de rede, a identidade se tornou o principal ponto de controle. Cada usuário, dispositivo e conexão de aplicativo representa um caminho potencial de entrada, o que torna as decisões de autenticação fundamentais tanto para a segurança quanto para a resiliência.
O login único (single sign-on) é um ponto de partida necessário, mas só é eficaz quando aplicado de forma consistente. Lacunas criadas por aplicativos isentos ou sistemas de identidade fragmentados são difíceis de identificar e ainda mais difíceis de gerenciar. Tratar a identidade como solução parcial deixa as organizações expostas justamente nos pontos em que os invasores atacam primeiro.
Para além dos segredos compartilhados
Abordagens modernas de autenticação, como passkeys e credenciais baseadas em plataforma, resolvem as vulnerabilidades estruturais das senhas por design. Elas substituem os chamados ‘segredos compartilhados’ por credenciais criptográficas vinculadas a um dispositivo específico e frequentemente verificadas biometricamente. A credencial nunca é transmitida em uma forma que possa ser interceptada ou reutilizada.
Isso reduz significativamente a exposição a técnicas comuns de ataque, incluindo o phishing em tempo real que captura senhas e códigos temporários. Também melhora a experiência do usuário ao eliminar redefinições, bloqueios e prompts repetidos que interrompem o trabalho.
Igualmente importante é frisar que essas abordagens permitem que as empresas considerem a confiança do dispositivo diretamente nas decisões de acesso. Ou seja: se o dispositivo é conhecido, gerenciado ou compatível, passa a ser parte da autenticação — e não um detalhe secundário.
Decisões de segurança são decisões de negócios
Falhas de autenticação não criam apenas incidentes de segurança. Elas interrompem operações, atrasam processos de integração e aumentam o tempo de recuperação quando algo dá errado. Fundamentos sólidos de identidade tornam o acesso mais previsível e os incidentes mais fáceis de conter.
É por isso que a segurança da identidade não pode ser tratada como um problema puramente técnico. Conselhos e líderes seniores precisam ter visibilidade sobre o risco de identidade em termos de negócio, incluindo resiliência, continuidade e capacidade de restaurar o acesso rapidamente sob pressão.
Os CISOs e demais líderes de segurança, por sua vez, têm a responsabilidade de comunicar com clareza, estabelecendo expectativas realistas, alinhando controles de segurança com a forma como as pessoas realmente trabalham e reduzindo a dependência de modelos frágeis que falham sob estresse.
O risco é evitável
As senhas ainda persistem porque são práticas enraizadas, não porque sejam eficazes. Mas, à medida que os cibercriminosos continuam a ampliar o phishing e o abuso de credenciais, a dependência de senhas como mecanismo primário de autenticação gera exposição desnecessária. Essa mudança já se reflete nas diretrizes de zero trust, que cada vez mais enfatizam a autenticação resistente a phishing como padrão.
As ferramentas para ir além das senhas já existem. O desafio está em aplicá-las de forma consistente e em alinhar segurança, conformidade e prioridades de negócio em torno de uma compreensão compartilhada do risco de identidade.
Hoje, autenticação não é apenas verificar quem alguém é, mas estabelecer confiança em como e de onde o acesso ocorre. Senhas, sozinhas, já não são suficientes para essa tarefa.
