MFA resistente a phishing: porque é que as passkeys são o próximo passo
A autenticação multifatorial tem sido um verdadeiro divisor de águas. A MFA continua a ser uma das medidas mais eficazes para proteger o acesso a sistemas e dados empresariais. Isso não mudou. O que mudou foi a capacidade dos atacantes para a contornar.
Nos últimos dois anos, uma técnica conhecida como adversary-in-the-middle (AiTM) tornou-se uma das principais ameaças aos sistemas de autenticação. O mecanismo é mais simples do que parece. Um colaborador recebe um e-mail que aparenta ser uma notificação legítima do Microsoft 365. Clica na ligação e é direcionado para uma página de início de sessão que parece real. Introduz o nome de utilizador e a palavra-passe. Recebe a notificação MFA no telemóvel e aprova. Tudo parece normal. No entanto, entre o navegador e a Microsoft existia um proxy controlado pelo atacante, que capturou o cookie de sessão em tempo real. Com esse cookie, o atacante acede à conta como se fosse o utilizador legítimo, sem necessidade de nova autenticação.
Estes não são ataques teóricos ou marginais. O Canadian Centre for Cyber Security documentou mais de 100 campanhas AiTM direcionadas a contas Microsoft Entra ID entre 2023 e o início de 2025. Segundo dados publicados pela Cisco Talos, metade das respostas a incidentes em 2024 envolveram técnicas de contorno de MFA. E aquilo que antes exigia competências técnicas avançadas está agora acessível a qualquer pessoa: plataformas como EvilProxy e Tycoon 2FA disponibilizam estes ataques como serviço (Phishing-as-a-Service), com campanhas detetadas pela Proofpoint a atingir milhares de organizações apenas em abril de 2025.
Isto não significa que a MFA deixou de funcionar. Significa que nem todas as formas de MFA oferecem o mesmo nível de proteção.
O que distingue a MFA resistente a phishing
Os métodos de MFA mais utilizados (notificações push, códigos OTP, SMS) cumprem a sua função: acrescentam uma camada de verificação que bloqueia a maioria dos ataques baseados em credenciais roubadas. No entanto, partilham uma limitação: dependem de o utilizador introduzir ou aprovar algo num site que pode não ser legítimo. Se o atacante replicar esse passo através de um proxy AiTM, a verificação é concluída na mesma.
A MFA resistente a phishing elimina essa dependência. Em vez de transmitir um código ou aprovação que pode ser intercetado, utiliza criptografia de chave pública associada ao domínio real do serviço. A autenticação ocorre diretamente entre o dispositivo do utilizador e o serviço legítimo. Se existir um proxy pelo meio, a verificação criptográfica falha e o acesso é negado.
As passkeys são a implementação mais acessível deste modelo. Baseadas no padrão FIDO2/WebAuthn, funcionam com biometria do dispositivo (Face ID, Touch ID, Windows Hello) ou um PIN, e a chave privada nunca sai do dispositivo do utilizador. Não há palavra-passe para roubar, nem código para intercetar, e a autenticação está criptograficamente associada ao domínio real.
Como as passkeys e a MFA tradicional funcionam em conjunto
Importa clarificar: as passkeys não substituem a MFA tradicional nem a tornam desnecessária. Ambas têm um papel numa estratégia de segurança bem desenhada.
A MFA baseada em push, OTP ou aplicações continua a ser eficaz na maioria dos cenários e é muito superior ao uso exclusivo de palavras-passe. Para muitas organizações, implementar MFA em todos os serviços já representa um avanço significativo — e deve ser prioridade se ainda não o fizeram.
As passkeys acrescentam uma camada adicional para cenários de maior risco: contas com privilégios de administrador, acesso remoto a sistemas críticos e aplicações cloud que tratam dados sensíveis. O objetivo não é substituir tudo de uma só vez, mas reforçar a proteção onde é mais crítico e expandir gradualmente.
Na prática, um MSP pode combinar ambas de forma natural: MFA por push como método padrão para acesso geral e passkeys para contas administrativas, acessos ao Microsoft 365 com privilégios elevados ou aplicações que lidam com dados financeiros ou de clientes. Isto reforça a proteção onde um incidente teria maior impacto, sem criar fricção desnecessária para os restantes utilizadores.
Há ainda uma vantagem frequentemente ignorada: a experiência do utilizador com passkeys é, na verdade, melhor do que com MFA tradicional. Não há códigos para copiar, nem notificações para aguardar, nem aplicações para abrir. O utilizador autentica-se com o rosto ou a impressão digital e entra. Para parceiros que gerem clientes cuja resistência à MFA resulta precisamente da fricção, este é um argumento relevante.
Porque reguladores e seguradoras estão a impulsionar a MFA resistente a phishing
Existe, porém, outra razão para agir — e esta tem impacto direto nos custos.
Do ponto de vista regulatório, a direção é clara. Referenciais como NIST, CISA, NIS2 e DORA apontam para a mesma conclusão: os controlos de acesso baseados em métodos tradicionais já não são suficientes, e um número crescente de normas exige ou recomenda explicitamente MFA resistente a phishing como parte de arquiteturas de zero trust.
Mas a pressão mais imediata vem do ciberseguro.
Se gere a segurança dos seus clientes enquanto MSP ou parceiro de canal, provavelmente já se deparou com isto. As renovações de seguros cibernéticos estão a trazer a MFA para discussões onde antes não era tema.
As seguradoras aprenderam com os sinistros. Sabem que a maioria dos incidentes pagos resulta de credenciais comprometidas e ajustaram os seus requisitos em conformidade. Cerca de 80% exigem agora MFA como condição obrigatória para emissão ou renovação de apólices. A mudança mais relevante, porém, é a distinção crescente entre MFA básica e MFA resistente a phishing na definição de prémios e condições de cobertura. Organizações que não consigam demonstrar controlos de acesso robustos enfrentam prémios mais elevados, exclusões de cobertura ou recusas.
Isto não é hipotético. Há casos documentados: a cidade de Hamilton, no Canadá, viu um pedido de indemnização por ransomware no valor de 18 milhões de dólares recusado por não ter MFA totalmente implementada nos sistemas afetados.
Isto altera a conversa com o cliente. Já não se trata de “deveria reforçar a sua segurança”, mas sim de “precisa disto para renovar o seguro e cumprir os requisitos que aí vêm”. E, se não for você a oferecer esta solução, será outro.
Como o AuthPoint integra passkeys na sua oferta de segurança
O WatchGuard AuthPoint suporta passkeys FIDO2 para recursos OIDC (OpenID Connect), permitindo que os utilizadores se autentiquem em aplicações como FireCloud, Microsoft Entra ID e qualquer aplicação integrada com OIDC através da biometria do dispositivo, sem palavras-passe ou códigos.
O desenho segue os princípios descritos: autenticação criptográfica associada ao domínio legítimo, com a chave privada sempre no dispositivo do utilizador – resistente a phishing por definição.
Para administradores, a disponibilidade de passkeys é controlada por recurso OIDC através de políticas de Zero Trust no WatchGuard Cloud. Isto permite uma implementação gradual: ativar passkeys para aplicações específicas, restringi-las a recursos de maior segurança ou combiná-las com outros métodos de autenticação conforme o cenário.
Um ponto relevante: as passkeys estão incluídas tanto nas licenças AuthPoint MFA como AuthPoint Total Identity Security, sem custo adicional. Não se trata de um módulo extra nem de uma funcionalidade premium. Parceiros que já utilizam AuthPoint podem disponibilizar esta capacidade aos seus clientes simplesmente ativando-a, sem necessidade de alterar licenças ou renegociar contratos.
Para saber mais sobre a importância contínua da MFA e como proteger o acesso contra o roubo de credenciais, consulte também os artigos no nosso blog: