0
0
A causa das violações é bem conhecida desde o marco “Relatório de investigações de violação de dados da Verizon 2017”, que revelou que 81% das violações relacionadas a hackers utilizavam senhas roubadas e / ou fracas.
Não mudou muita coisa nos últimos dois anos. O relatório de 2019 da Verizon confirma que o número de senhas roubadas e / ou fracas ainda é de cerca de 80%, com 29% das violações causadas por credenciais roubadas.
Então, mais uma vez, perguntamos: O que é necessário para que o setor abandone as senhas? E o que está impedindo as organizações de seguir em frente?
‘Nossa melhor aposta’ para o encerramento de senhas
“As organizações sabem que muitas pessoas usam as mesmas senhas repetidas vezes. É uma prática ruim, mas em grande parte devido à inércia. Há muitas outras coisas a fazer”, diz Rik Turner, analista principal da Ovum. . “Seguindo em frente, a FIDO [autenticação rápida de identidade on-line] vale a pena dar uma olhada, pois possui muitas das grandes marcas de consumidores por trás dela. Tornou-se realmente a melhor aposta para o futuro da autenticação sem senha”.
Embora seja verdade que o setor demorou a mudar, um olhar mais atento revela que muito progresso foi feito em 2019. Por exemplo, a Microsoft e o Google agora suportam o padrão FIDO2 sem senha, e a Apple deixou claro que pretende dar suporte ao FIDO2 em seu navegador Safari. . Em outra jogada importante, a Apple diz que o iOS 13.3 (provavelmente disponível no início de 2020) oferecerá suporte a dispositivos de autenticação populares compatíveis com o FIDO, como o YubiKey.
Do lado do consumidor, empresas como o eBay tiveram seus desenvolvedores construindo seus sites com a especificação WebAuthn FIDO2, que permite autenticação sem senha usando biometria, acrescenta Andrew Shikiar, diretor executivo e CMO da FIDO Alliance. A partir de agora, os usuários do Android que executam o Google Chrome 75 podem acessar o eBay autenticando com uma impressão digital ou digitalização facial, conforme o dispositivo suportar.
A Intuit, que também implantou a autenticação sem senha da FIDO para seus serviços móveis, encontrou seus clientes autenticados com sucesso 99,9% das vezes, em comparação com 80% a 85% para mensagens de texto. O tempo de entrada também foi reduzido em 78%. Shikiar diz que muitas outras empresas oferecerão autenticação sem senha em seus sites nos próximos meses.
“Estamos vendo que as organizações estão percebendo que as senhas são uma responsabilidade”, diz ele. “Com o FIDO, as organizações podem melhorar a experiência do usuário, aumentar a segurança e reduzir os riscos e também o tempo para autenticação.”
Matthew Ulery, diretor de produtos da SecureAuth, diz que as organizações mudarão com base em uma combinação de quatro fatores importantes: um colega importante do setor (ou seja, um banco ou empresa de seguros) é violado e não quer ser a próxima vítima; um novo CEO ou alto executivo entra na organização e determina que a empresa passará para a autenticação sem senha; uma organização percebe que finalmente precisa fazer algo para interromper a capacidade dos IDs sintéticos de roubar senhas; e, finalmente, os clientes pressionam por mudanças.
“Os clientes estão recuando”, diz Ulery. “Agora é tão fácil fazer leitura de impressões digitais ou reconhecimento facial em um smartphone que os clientes desejam saber por que eles não podem migrar para uma solução sem senha”.
Há também um argumento econômico para mudar para a autenticação sem senha. De acordo com Frank Dickson, vice-presidente de programa da IDC que cobre questões de segurança, os funcionários, em média, ligam para o suporte corporativo para redefinir suas senhas até duas vezes por ano. Cada ligação custa entre US $ 30 e US $ 40, portanto, a autenticação sem senha do bastão pode ajudar a reduzir os custos. Além disso, como os usuários estão se autenticando em aplicativos e não na rede corporativa com autenticação sem senha, as empresas podem reduzir as chamadas relacionadas para ajudar com suas VPNs – e até eliminar seus custos de gerenciamento de uma VPN corporativa.
“As empresas sabem que precisam ficar sem senha, mas também precisam encontrar o dinheiro para fazer isso”, diz Dickson. “Quando eles perceberem que podem eliminar custos e aumentar a segurança sem senha, as coisas começarão a mudar. Espero que 2020 seja um ano em que muito disso se reúna.”
Empresas preparam-se para nova rodada de implantação
Chase Cunningham, analista principal da Forrester que se concentra em questões de segurança, acrescenta que muitas empresas tiveram experiências ruins com algumas das etapas evolutivas da tecnologia de segurança.
“Depois que as organizações foram queimadas pela [prevenção de perda de dados], muitas hesitam em tentar novamente”, diz Cunningham. “De muitas maneiras, processos antiquados são uma grande parte do problema – a razão pela qual muitas organizações não conseguem avançar. Mas a tecnologia se tornou muito mais fácil de implantar e usar”.
Cunningham aponta para a tecnologia Zero Sign-On da MobileIron, na qual o smartphone se torna um autenticador.
“As pessoas estão acostumadas a ter um telefone em suas mãos, e é por isso que acho que veremos muito mais sobre autenticação sem senha e facilidade de uso”, diz ele.
Brian Foster, vice-presidente sênior de gerenciamento de produtos da MobileIron, ressalta que a empresa se concentra principalmente no mercado corporativo, onde as pessoas acessam aplicativos para realizar seus trabalhos. Até agora, até os melhores aplicativos de logon único exigem um nome de usuário e senha.
Com o Logon Zero, Foster diz, os usuários não acessam a rede corporativa com um nome de usuário e senha; eles acessam aplicativos usando o aplicativo sem senha no telefone. A tecnologia funciona em telefones iOS e Android, e os usuários podem se autenticar em uma máquina MacBook Pro ou Windows usando seus telefones.
Portanto, é bastante claro que houve progresso e que os profissionais de segurança estão focados na eliminação de senhas. Um relatório da IDG divulgado no último verão descobriu que os líderes de segurança estimavam que poderiam reduzir o risco de violações em quase a metade (43%), simplesmente eliminando senhas. E a grande maioria dos profissionais de segurança (86%) disse que eliminaria senhas se pudesse.
“As senhas continuam sendo um grande problema, e o phishing é um grande problema na empresa”, diz Foster. “Reconhecemos que muitas organizações estão procurando maneiras de reduzir sua dependência de senhas”.
Shikiar, da Aliança FIDO, ressalta que ninguém afirma que todos esses esforços sem senha resolverão completamente o problema que o setor tem com hackers e violações.
“O que estamos dizendo é que essas violações escaláveis maciças podem ser contidas”, diz ele. “Os hackers aprenderão a invadir a biometria, mas toda a biometria estará localizada no dispositivo. Não haverá banco de dados centralizado onde os hackers possam roubar milhares de nomes de usuário e senhas”.
Procure várias empresas para ter uma história de autenticação sem senha na próxima RSA Conference em fevereiro em San Francisco, diz Shikiar. A FIDO Alliance também tem seu show Authenticate 2020 em junho, que se concentrará em reunir participantes do setor para promover e aprender mais sobre autenticação sem senha.
Então, a autenticação sem senha terá um avanço em 2020? Não espere milagres, mas espere que esse seja um tópico importante de discussão no próximo ano. As organizações podem ter que desacelerar um pouco as coisas e descobrir como elas podem se tornar menos dependentes das senhas.
FONTE: DARK READING