0
0
Há um amplo reconhecimento por parte dos líderes de segurança de que a autenticação mais forte é fundamental para evitar violações de dados. Recentemente, em setembro de 2021, a vice-conselheira de Segurança Nacional para Tecnologias Cibernéticas e Emergentes dos EUA Anne Neuberger disse que a autenticação multifatorial — que exige que os usuários acessem sites e sistemas digitando uma senha e também usando um segundo dispositivo para verificar sua identidade — poderia evitar 80% a 90% de todos os ataques cibernéticos bem-sucedidos.
E embora muitas organizações tenham implementado o MFA para usuários remotos, um grande número de usuários nessas mesmas organizações, continuam acessando aplicativos e serviços com senhas vulneráveis.
No atual clima de cibercrime, todos os usuários são alvos. A implementação de MFA parcial para subconjuntos de usuários deixará lacunas e criará vulnerabilidades de segurança
Nem todos os métodos MFA são iguais
Enquanto o conceito de autenticação multifatorial é abrangente, o diabo está escondido nos detalhes da implementação. A maioria das organizações está seguindo uma abordagem monolítica da autenticação MFA, aproveitando os smartphones como o segundo fator de autenticação. Portanto, os métodos de autenticação mais comuns são autenticadores OTP móveis, push OTP e autenticação baseada em SMS.
No entanto, nem todas as formas de MFA são adequadas para a comprovação futura dos requisitos de acesso de uma organização e estendem a cobertura a todos os usuários. Por exemplo, a autenticação baseada em SMS é preterida pelo NIST devido à troca de ameaças do SIM. Há também inúmeras razões pelas quais um telefone inteligente frequentemente não pode ser usado como um dispositivo de autenticação. À medida que as organizações se preparam para expandir a autenticação forte para usuários e aplicativos adicionais, implementar o método de autenticação certo para o usuário certo é a chave para o sucesso.
Jornadas distintas de autenticação do usuário
Há um equívoco de que todos os usuários são iguais. Isso está longe de ser verdade. Em negócios modernos e baseados em nuvem, cada usuário é único e tem requisitos de acesso distintos. Um usuário pode acessar dados na nuvem de sua casa usando seu laptop de negócios. Outro usuário pode acessar dados confidenciais no local enquanto estiver viajando usando um celular. Além disso, para alguns usuários da empresa pode não ser viável ter acesso a um smartphone para se autenticar por causa de várias restrições operacionais que restringem a conectividade móvel ou proíbem o uso de celular.
Bem-vindo ao mundo das jornadas de verificação de identidade do usuário, onde diferentes casos de uso exigem diferentes abordagens para a autenticação do usuário. Para entender o conceito, vejamos dois casos de uso distintos – um representante de vendas e um biólogo.
Representante de vendas
Um representante de vendas pode estar se deslocando de trem para a sede. Ela pode acessar sua conta do Salesforce e aplicar MFA, que agora é uma exigência, usando um celular. Ela também pode usar seu autenticador móvel para acessar o Salesforce ao fazer login em sua conta a partir de um laptop de negócios no escritório. Este é um exemplo onde o mesmo método de autenticação pode ser usado em vários casos, no entanto, nem sempre é o caso.
Biólogo da natureza
Um biólogo da natureza poderia se encontrar em um local remoto, como uma selva, e precisa autenticar para registrar as descobertas da pesquisa em um comprimido endurecido. Em locais remotos ele não pode usar um celular porque não há acesso à internet. Portanto, ele precisa ter acesso a um dispositivo que possa fornecer autenticação sem conexão à internet. Alternativamente, quando ele está de volta em seu hotel ou casa, ele pode usar um telefone celular para autenticar e acessar a plataforma de nuvem de sua universidade.
Você está pronto para assumir o desafio de autenticação?
Esses dois cenários demonstram a necessidade de as empresas serem capazes de suportar várias jornadas de autenticação do usuário. Para isso, eles precisam adotar uma abordagem ‘Descubra, Proteja, Controle’:
- Descubra jornadas distintas de autenticação dos funcionários
- Proteger dados enquanto equilibra a experiência do usuário
- Controlar a segurança de acesso à escala com as necessidades dos negócios
Para entender o conceito de jornadas de autenticação do usuário e o que isso significa para sua organização, a Thales desenvolveu um tutorial, que você pode acessar aqui. Experimente este jogo divertido e veja quantos pontos você marca aplicando as soluções de autenticação corretas.
FONTE: THALES