0
0
Os aprimoramentos comprovados de segurança que a autenticação multifa (MFA) ou a autenticação de dois fatores (2FA) estão estimulando os departamentos de TI a colocá-los no lugar. Como muitas vezes acontece, muitos gerentes e funcionários estão se opondo às etapas extras associadas aos logins do MFA, inventando desculpas para evitá-los.
Aqui está o que os especialistas em segurança com quem falamos dizem que são as desculpas mais comuns do MFA que eles encontraram e as respostas que eles usam para derrotá-los efetivamente.
1. Minha senha é forte o suficiente
Uma senha forte é um primeiro passo crucial e aplaudado, mas à medida que os ataques cibernéticos se tornam mais sofisticados, não é suficiente por si só. Este é um ponto que os CISOs precisam martelar para casa para usuários e gerentes, citando exemplos de violações de segurança onde senhas fortes não eram suficientes.
“O benefício do 2FA/MFA é que os consumidores podem estar menos preocupados em serem vítimas de seus dados serem roubados por meio de ataques de força bruta, golpes convincentes de phishing ou outros ataques de aquisição de contas”, diz Aaron Goldsmid, vice-presidente e gerente geral de segurança de contas da Twilio. “Mesmo que uma senha já tenha sido comprometida, com o 2FA/MFA os consumidores podem ter confiança de que sua conta não será assumida por recheio de credenciais ou outros métodos comuns associados a senhas roubadas.”
2. Eu não quero fornecer o meu número pessoal de smartphone para o meu login MFA
Você não precisa fornecer seu número de telefone ou mesmo seu endereço de e-mail. Existem muitas outras maneiras de implantar mfa que não exigem deles. Por exemplo, aplicativos autenticadores são mais convenientes do que a abordagem tradicional de SMS ou e-mail. O usuário pode precisar digitalizar um código QR ou inserir manualmente um código na configuração inicial, mas logins subsequentes podem ser configurados para exigir apenas uma notificação push onde um usuário será solicitado a clicar em um botão verificando seu login tentado.
3. Meu número de telefone pessoal será usado para marketing ou vendido a terceiros
Para fornecer garantia sobre este ponto, sua empresa de TI deve ter uma política de ironclad em vigor contra o uso/venda de dados de funcionários para fins não-segurança ou usar um provedor de MFA de terceiros que siga as mesmas regras. A maioria segue as diretrizes locais e nacionais de privacidade de dados e divulga como eles usam dados de clientes.
4. MFA é muito novo e não comprovado
“A autenticação de dois fatores não é nova”, diz Tony Anscombe, evangelista-chefe de segurança da ESET. “Os bancos introduziram cartões de débito com números PIN — algo que você tem e algo que você sabe — que é, naturalmente, autenticação de dois fatores. Destacar isso muitas vezes explica o conceito de uma forma que remove a objeção.”
5. Nossa equipe de TI já está sobrecarregada com o enfrentamento de questões de alta prioridade
A equipe de TI ficará muito mais sobrecarregada se um ataque de ransomware tirar todos do sistema. Isso pode acontecer mais facilmente sem o MFA porque “a autenticação baseada em senha por si só não é suficiente”, diz Paul Kincaid, CISO e vice-presidente de produtos de informação e segurança da SecureAuth. “Os usuários são a maior fonte de risco, e é muito fácil criar senhas de engenharia social apostar a segurança da empresa neles.”
6. É muito incômodo para configurar mfa
Essa desculpa pode vir de usuários, gerentes ou TI, e embora possa ter sido o caso no passado, não é verdade agora. “O 2FA/MFA deixou de ser um recurso oculto que exigia navegar em várias etapas para ser uma parte fundamental do processo de onboarding, muitas vezes ativado com o clique de um botão”, diz Goldsmid. “Embora o 2FA/MFA no passado pareça um processo mais complicado, a maioria dos aplicativos e sites agora incorporam APIs que fornecem um simples alternador com uma pergunta sim ou não: ‘Você gostaria de ativar a autenticação push, uma senha baseada no tempo, uma vez (TOTP), verificação de e-mail, verificação de SMS e assim por diante?'”
7. A solução MFA não suporta nossos aplicativos legados
Embora isso possa ter sido verdade no passado, a maioria das soluções de MFA hoje são mais capazes de trabalhar com sistemas legados. “O cenário tecnológico mudou e agora existem várias soluções para esse desafio, algumas delas podem nem precisar de mudanças em aplicativos legados”, diz Kincaid. “A orquestração de identidade e os fatores MFA em camadas/fora da banda são opções válidas que podem permitir que as organizações mitigam os riscos de aplicativos legados, impondo métodos de autenticação mais fortes.” Qualquer despesa será menor do que pagar ransomware.
8. O risco não é alto o suficiente para o investimento em MFA
Essa desculpa para evitar gastar dinheiro pressupõe que as realidades da cibersegurança não mudaram, o que eles têm. O motivo? “Devido à mudança crescente para cargas de trabalho em nuvem e dinâmica de trabalho de casa, o perímetro da rede não existe como antes”, diz Kincaid. “Fornecer uma autenticação forte via MFA é fundamental para uma estratégia de segurança em camadas. Não incluir isso deixa a organização exposta em caso de uma ameaça interna ou violação externa. O MFA pode ajudar a mitigar os danos causados pelo agressor.”
9. Eu não sei o suficiente sobre o que mfa é para se sentir confortável usando-o
Sem problemas, fico feliz em explicar mfa para você em termos simples e simples. Então você vai se sentir confortável! “Educar os consumidores sobre a importância de novos métodos eficazes de segurança é fundamental”, diz Goldsmid. “É responsabilidade de todas as organizações, pois a confiança dos clientes e a privacidade de dados se tornam questões cada vez mais comuns para consumidores e órgãos governamentais.”
10. Eu não preciso de mais segurança, eu não tenho nada que valha a pena roubar
CISOs exasperados poderiam ser perdoados ao responder a esta desculpa respondendo: “Oh, realmente? Dê-me todos os seus números de cartão de crédito e PINs, e vamos descobrir com certeza!
Esta é uma desculpa manca mascarando um esforço igualmente manco para evitar mfa. No entanto, a resposta profissional a essa esquiva verbal é responder: “Todo consumidor é um alvo potencial de um ataque, já que cada pedaço de informação pessoalmente identificável [PII] é valioso para atores mal-intencionados”, diz Goldsmid. “Mesmo que você pense que não tem nada que valha a pena roubar, atores mal-intencionados estão mirando dispositivos domésticos inteligentes, contas bancárias individuais e, finalmente, qualquer conta que tenha informações pessoais pode ser usada em atividades fraudulentas.”
“Os consumidores não precisam procurar longe para encontrar evidências desse cenário de ameaça ‘qualquer um é um alvo’. Equifax, Marriott e Facebook são apenas alguns exemplos de ataques recentes direcionados aos consumidores cotidianos”, acrescenta Goldsmid. “Felizmente, há uma maneira fácil de combater esses ataques, e está simplesmente configurando 2FA.”
FONTE: CSO ONLINE