Microsoft e o futuro sem senhas: insights para pentesters e consultores
A Microsoft está adotando autenticação sem senha em novas contas, usando passkeys, notificações push e chaves físicas. O modelo já registra 98% de sucesso em logins (vs. 32% com senhas), com quase 1 milhão de passkeys criados diariamente.
Passkeys na prática: Funcionam como um "cadeado digital": o serviço guarda uma chave pública, enquanto a privada fica no dispositivo, protegida por biometria, PIN ou hardware (ex: TPM). Eliminam phishing, pois a chave nunca é transmitida.
Debates da comunidade:
Sincronia entre ecossistemas:Soluções como 1Password ou Bitwarden permitem sync cross-platform, enquanto iCloud/Google são mais restritos. Dica de usuário: "Bitwarden auto-hospedado oferece controle total sem custo".
Segurança: Biometria/PINs são camadas locais — o passkey em si está em hardware seguro.
Recuperação: Fallback para e-mail/SMS persiste, mas perder acesso a todos os dispositivos com passkey do e-mail significa bloqueio total.
Para profissionais de segurança: Testem como passkeys são gerenciados em ambientes multi-OS e se há falhas no fallback (ex: SMS). Atenção à implementação de FIDO2/WebAuthn e armazenamento de chaves (priorizem hardware seguro). A migração é inevitável: dominem os padrões e eduquem clientes sobre riscos (ex: dependência de ecossistemas) e vantagens (redução de phishing).
https://www.theverge.com/news/659929/microsoft-passwordless-passkeys-by-default
A Microsoft está adotando autenticação sem senha em novas contas, usando passkeys, notificações push e chaves físicas. O modelo já registra 98% de sucesso em logins (vs. 32% com senhas), com quase 1 milhão de passkeys criados diariamente.
Passkeys na prática: Funcionam como um "cadeado digital": o serviço guarda uma chave pública, enquanto a privada fica no dispositivo, protegida por biometria, PIN ou hardware (ex: TPM). Eliminam phishing, pois a chave nunca é transmitida.
Debates da comunidade:
Sincronia entre ecossistemas:Soluções como 1Password ou Bitwarden permitem sync cross-platform, enquanto iCloud/Google são mais restritos. Dica de usuário: "Bitwarden auto-hospedado oferece controle total sem custo".
Segurança: Biometria/PINs são camadas locais — o passkey em si está em hardware seguro.
Recuperação: Fallback para e-mail/SMS persiste, mas perder acesso a todos os dispositivos com passkey do e-mail significa bloqueio total.
Para profissionais de segurança: Testem como passkeys são gerenciados em ambientes multi-OS e se há falhas no fallback (ex: SMS). Atenção à implementação de FIDO2/WebAuthn e armazenamento de chaves (priorizem hardware seguro). A migração é inevitável: dominem os padrões e eduquem clientes sobre riscos (ex: dependência de ecossistemas) e vantagens (redução de phishing).
https://www.theverge.com/news/659929/microsoft-passwordless-passkeys-by-default
The Verge
Microsoft goes passwordless by default on new accounts
The company is trying to get everyone to get rid of passwords, eventually.
