Indo além das senhas e 2FA
Desde o início da TI, a humilde combinação de nome de usuário e senha garantiu nosso acesso às informações. No mundo digital de hoje, esse modelo ainda é a norma para consumidores e funcionários que fazem login no sites, formulários, VPNse serviços em nuvem. Mas é hora de repensar com urgência porque o modelo está quebrado.
Ao contrário da crença popular, o problema não é realmente sobre ataques de força bruta de hackers para quebrar senhas, embora isso aconteça. O verdadeiro problema é o número e a frequência das violações de dados em que as credenciais do usuário vazam e são disponibilizadas para venda na dark web. Na verdade, de acordo com o último relatório de violação da Verizon, 80% dos hacks hoje não são realmente hacks, mas malfeitores simplesmente se conectando com credenciais de usuário válidas que obtiveram em outro lugar.
Não importa o quão bem protegemos os tubos com criptografia forte ou quão eficaz é um Centro de Operações de Segurança (SOC), se alguém puder facilmente obter credenciais e fazer login ‘legitimamente’, nossos melhores esforços serão em vão. As senhas também são a causa raiz de uma experiência terrível e estressante do usuário, o que pode explicar por que as gerações mais jovens parecem ter desistido de aplicá-las de maneira adequada.
Sobre o autor
Ben Todd é chefe de vendas mundiais da Nomidio
Os hábitos de senha estão piorando, não melhorando
Você pode imaginar que os nativos digitais, as gerações mais jovens nascidas em um mundo conectado, são mais capazes de se proteger online. Infelizmente, uma nova pesquisa que encomendamos confirma que as gerações mais jovens têm hábitos de senha significativamente mais arriscados do que seus pais, com 24% das pessoas com idade entre 24 e 38 (Millennials) usando a mesma senha para todas as suas contas, em comparação com apenas 2% dos baby boomers.
Com 14% das gerações mais jovens relatando que nunca mudaram suas senhas, é fácil ver como os bandidos podem usar credenciais roubadas de um lugar para fazer login em outro. Talvez pior ainda, agora seja comum que os jovens (62%) compartilhem voluntariamente as credenciais de serviços como o Netflix com amigos e familiares, talvez enviando-os usando e-mail não criptografado ou contas de mensagens.
O objetivo desta pesquisa não é criticar os jovens, mas sim destacar que a maneira como pedimos às pessoas que se autentiquem hoje é muito incômoda para os usuários e, na verdade, é a causa raiz da crescente indústria de roubo de identidade. É revelador que analistas do Gartner tenham afirmado em um relatório recente “Violações de dados de informações de identificação pessoal (PII) estão tornando a verificação de dados de identidade estáticos (nomes de usuário e senhas) obsoleta”.
2FA para o resgate?
A resposta lógica nos últimos anos tem sido colocar “fatores” adicionais em cima da senha. Ao pedir às pessoas que validem sua identidade com base em ‘algo que elas têm’, digitando uma senha única enviada para seu telefone celular ou e-mail, podemos tornar a vida muito mais difícil para os hackers.
A autenticação de dois fatores ou ‘2FA’ cresceu em popularidade e agora é um aspecto integral dos requisitos de autenticação forte do cliente para pagamentos de comércio eletrônico. A maioria das grandes empresas também pede aos funcionários que usem 2FA ao fazer o login.
Infelizmente, isso torna uma experiência ruim ainda pior, pois realmente não faz sentido que a identidade de alguém esteja vinculada ao seu dispositivo. O que acontece se você estiver tentando fazer login em um aplicativo de trabalho para cumprir um prazo enquanto estiver viajando e seu telefone ficar sem bateria? Ou você usa um aplicativo autenticador e perde o telefone? Talvez seja por isso que apenas 25% dos entrevistados em nossa pesquisa disseram que habilitam o 2FA regularmente quando é uma opção.
Também há pontos de interrogação sobre por quanto tempo o 2FA atrapalhará os bandidos com uma série de ataques de phishing recentes evoluindo para induzir os usuários a desabilitar voluntariamente sua proteção 2FA. Os problemas de identidade exigem uma reforma radical e de ramificação, 2FA é uma boa tentativa, mas precisamos ser muito mais ambiciosos.
A biometria multifatorial é a resposta?
Uma abordagem de autenticação multifatorial baseada em biometria tem o potencial de fornecer uma mudança radical na segurança e na experiência do usuário. Em um mundo onde os funcionários se conectam em redes públicas, de qualquer lugar, não podemos mais oferecer a eles um ‘perímetro’. Em vez disso, devemos investir em autenticação moderna que ajude os usuários a acessar os serviços com segurança e facilidade quando e onde quiserem.
Em vez de pedir aos usuários que se lembrem de uma senha, armazenamos seus identificadores biométricos, uma impressão de voz e rosto, para que possamos autenticar em qualquer dispositivo em que estejam fazendo login. Combinamos a verificação biométrica com fatores adicionais ‘silenciosos’ que aumentam ainda mais a segurança. Portanto, da perspectiva do usuário, tudo o que ele precisa fazer é apresentar seu rosto e entrar.
Com protocolos subjacentes como OpenID Connect, sites, aplicativos ou provedores de serviços em nuvem podem facilmente permitir que um provedor de identidade adicione autenticação biométrica em seus sistemas. Para o usuário, isso torna sua identidade biométrica amplamente interoperável e, nos bastidores, funciona exatamente da mesma maneira que fazer login no Facebook ou Google.
Com um serviço de autenticação biométrica bem projetado, também podemos separar a identidade de alguém de seu dispositivo. Muitas vezes descrevemos isso como ‘o efeito Netflix’, porque a verificação biométrica acontece na nuvem, e não localmente em um dispositivo, um usuário pode mover-se entre seu laptop, telefone ou dispositivo de terceiros e ainda fazer logon usando o rosto.
As pessoas entenderam que a biometria é a resposta para uma autenticação mais segura por vários anos, mas tem sido difícil para todas, exceto para as maiores empresas, implantar a tecnologia. Mas a economia e a complexidade estão melhorando e acreditamos que somos um grande exemplo.
Se quisermos seriamente lidar com o roubo de identidade e violações de dados, devemos abandonar os nomes de usuário e as senhas porque são a razão pela qual as pessoas precisam armazenar suas informações de identificação pessoal em várias organizações. São essas informações pessoais que são perdidas e usadas para perpetrar mais hacks.