É Hora de Repensar Identidade e Autenticação

Views: 293
0 0
Read Time:4 Minute, 3 Second

O conceito de identidade existe há décadas, mas a autenticação não alcançou suas ameaças avançadas até agora. Aqui estão quatro maneiras de começar a pensar diferente sobre identidade e autenticação.

Os sistemas legados de identidade e autenticação não estão equipados para lidar com as necessidades modernas. Segurança de confiança zero, conformidade, privacidade e facilidade de acesso exigem uma nova abordagem: autenticação sem atrito e baseada em identidade.

A identidade é a moeda digital mais valorizada de hoje. Uma vez verificado, ele lhe dá acesso a quase tudo. Historicamente, a identidade foi validada por uma certidão de nascimento, identidade emitida pelo governo e senhas e, mais recentemente, por dispositivos móveis e biometria.

Em meio a ataques constantes de cibercriminosos, estamos vendo uma mudança na forma como definimos identidade e garantimos a autenticação adequada. Os métodos de segurança legados assumem que a pessoa que faz login é quem eles dizem ser, mas os padrões de segurança modernos (como NIST 800-63-3 e FIDO2) se concentram imperativamente na afirmação de identidade e se afastam das senhas legadas.

Essa mudança de segurança também deve incorporar as necessidades do usuário. Com várias contas e senhas para lembrar, a segurança é um processo complicado que ainda coloca os usuários em um risco substancial de compromissos de credenciais.

Aqui estão quatro maneiras pelas quais precisamos pensar diferente sobre identidade e autenticação.

  1. Identidade e Autenticação Devem Ser Consolidadas
    Normalmente, a segurança se concentra em soluções de prova de identidade ou sem senha. Essa separação causa atrito para organizações e clientes ao implementar dois sistemas potencialmente incompatíveis, mas necessários.
    Existem dois grandes problemas em manter as informações de identidade e os meios de autenticação separados, especialmente ao lidar com funcionários e clientes. Primeiro, a autenticação nunca será “sem atrito” para o seu usuário. Eles lidarão com várias senhas e nomes de usuário, o que é uma vulnerabilidade. Em segundo lugar, se o seu funcionário usa sua plataforma por motivos pessoais como cliente (pense: funcionários bancários também têm contas correntes com você), você não é capaz de provar que é a mesma pessoa, apenas que a pessoa tem as credenciais certas do cliente.Não precisamos mais de nomes de usuário e senhas para autenticar indivíduos. Biometria, dispositivos móveis e autenticação multifatorial são ferramentas fortes. Combinar esses métodos com a prova definitiva de ID no início reduz o atrito do usuário e melhora a segurança geral.
  2. Os usuários devem controlar suas identidades 
    Os indivíduos estão em risco sempre que fornecem uma informação de identificação. Assim, os usuários querem mais controle sobre quem, o quê e quando de fornecer essas informações. Hoje, existem várias maneiras de colocar a autenticação de volta nas mãos dos usuários:
    • Smartphones validando dados biométricos
    • Disponibilidade de aplicativos e dispositivos de senha única (OTP)
    • Uso de chips de módulo de plataforma confiável (TPM) em computadores e dispositivos móveis para armazenar chaves de criptografia e outros dados
    • Uso de blockchain para armazenar informações identificáveis
    • Exigindo o consentimento dos usuários para fornecer detalhes de validaçãoDadas essas opções, o controle de identidade e autenticação do usuário deve ser um requisito. É obrigação de todas as empresas com as quais os usuários interajam reduzir seu próprio risco e o de seus funcionários e clientes.
  3. A autenticação deve corresponder ao risco
    Apesar da promessa das tecnologias listadas acima, a maioria das empresas não as utiliza. Em vez disso, eles continuam investindo em formas arcaicas de autenticação que não correspondem à crescente sofisticação do risco. Embora a autenticação de dois fatores ajude, esta não é uma solução única. Todo usuário tem diferentes graus de risco, e sua autenticação deve corresponder de acordo.
    A autenticação deve suportar vários métodos, mas pode incluir verificação de conta corporativa, acesso a endereços de e-mail e biometria — além de SMS e OTP, como mencionado anteriormente.As organizações não precisam implementar todos os fatores disponíveis para elas, mas devem identificar seus usos caso a caso de acordo com o risco de sua organização e usuários. Considerando os usuários que desejam controlar sua própria identidade, para manter uma experiência positiva, também é importante perceber a necessidade de potencialmente permitir que eles decidam quando adotar métodos de autenticação mais recentes.
  4. Ambos devem ser gerenciáveis para implementar
    A transição para novas soluções é um processo delicado. Mover-se muito rapidamente sem identificar as necessidades complexas do seu negócio ou preparar sua força de trabalho e clientes é uma configuração para o fracasso. Concentre-se primeiro na melhor forma de consolidar identidade e autenticação e construir a partir daí. Essa estrutura fornecerá aos seus funcionários e clientes autenticação confiável e fácil de usar.

O conceito de identidade existe há décadas, mas a autenticação não alcançou suas ameaças avançadas — até agora. É hora de parar de esperar o melhor com sistemas legados e adotar novos meios de autenticação e armazenamento de informações. Isso criará melhor eficácia de autenticação, experiência do usuário e segurança organizacional.

FONTE: DARK READING

POSTS RELACIONADOS

Categorias

Posts Recentes

Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL