Muitas organizações concordam em teoria que a autenticação sem senha é o futuro, mas chegar lá representa um desafio significativo de gerenciamento de mudanças.
A migração para o passwordless requer reflexão e planejamento. Por exemplo, uma organização precisa estabelecer imperativos estratégicos em torno da segurança, da experiência do usuário, da privacidade e da conformidade. Isso inclui atender aos requisitos técnicos e especificações para executar a migração e determinar como medir o sucesso do projeto.
Mas, primeiro, o processo requer a adesão de todas as partes interessadas — o C-suite, os chefes de linha de negócios e, finalmente, os usuários finais, incluindo clientes e parceiros, como fornecedores, empreiteiros e integradores de sistemas. Uma maneira de conseguir isso é comunicando os benefícios da autenticação sem senha às partes interessadas com casos de uso que ilustram como o atrito que eles experimentam atualmente em seus fluxos de trabalho diários será eliminado.
Esses benefícios incluem:
Ponto único de autenticação: A maioria das empresas exige que os trabalhadores se autentiquem de várias maneiras, dependendo dos aplicativos que desejam acessar, o que pode incluir o login por meio de um navegador da Web, aplicativo federado, uma plataforma de SSO baseada em nuvem — ou um SSO herdado — ou simplesmente por meio de uma estação de trabalho local ou VPN herdada.
Uma plataforma sem senha pode substituir esses mecanismos em silos por uma única experiência que engloba verificação e autenticação de identidade baseada em biometria. Durante o embarque inicial, o sistema valida a integridade do dispositivo, captura dados biométricos (selfie, selfie ao vivo, impressão digital, etc.) e pode até verificar documentos governamentais (carteira de motorista, passaporte, etc.), o que cria uma carteira digital privada e reutilizável que é armazenada no dispositivo TPM / enclave seguro.
Fácil recuperação de credenciais: Se um dispositivo de acesso for perdido ou roubado, uma plataforma sem senha pode fornecer opções de recuperação de carteira digital que minimizam o impacto no usuário e na equipe de suporte técnico. Eles podem incluir uma frase mnemônica de 12 palavras, um pino secreto fornecido pelo usuário ou uma correspondência biométrica.
Para sistemas legados que uma organização não pode ou não migrará para sem senha, algumas plataformas sem senha usam correspondência facial para redefinir ou alterar senhas. Isso elimina o atrito associado às ferramentas de redefinição de senha legadas que geralmente são alvo de cibercriminosos.
Algumas plataformas de autenticação sem senha até oferecem suporte ao acesso off-line quando o acesso à Internet não está disponível ou durante uma interrupção do servidor. Eles também podem substituir tokens de acesso físico – como a construção de cartões de acesso – permitindo que os usuários se autentiquem por meio da mesma carteira digital que fornece acesso à rede de TI.
Resistência a phishing: Algumas plataformas sem senha vinculam a identidade de um usuário à sua credencial, portanto, elas não estão simplesmente vinculadas a um dispositivo. Em vez disso, sua autenticação é baseada em uma identidade verificada, que não pode ser roubada por meio de ataques de phishing. Enquanto isso, plataformas que oferecem recursos como leitura de código QR, notificações push para dispositivos móveis, autenticação certificada pela FIDO e biometria de dispositivos podem tornar a resistência ao phishing uma realidade.
Saiba antes de ir
Ao planejar uma transição para a autenticação sem senha, vários fatores importantes precisam ser considerados:
- A integração de tecnologias que mantenham a organização em conformidade com as regulamentações de privacidade, como o GDPR, precisa fazer parte do processo de planejamento, e não uma reflexão tardia
- Os dispositivos usados para autenticação também precisam ser validados (para evitar ataques de falsificação usando dispositivos falsificados)
- O passwordless deve andar de mãos dadas com a adoção de uma estrutura de confiança zero.
Ao autenticar usuários em vários pontos de acesso (em vez de apenas no login), as soluções de confiança zero podem estabelecer uma postura de segurança mais forte e impedir que invasores com credenciais roubadas se movam lateralmente dentro da rede para acessar sistemas e dados confidenciais. Para evitar ataques de comprometimento da conta usando códigos de segurança únicos roubados ou compartilhados, a biometria que corresponda a uma expressão facial ou voz ao vivo deve ser incorporada ao plano de transição para sem senha.
A mudança para o sem senha envolve muitas mudanças tanto para os usuários finais quanto para a equipe de TI. Ao comunicar os casos de uso da autenticação sem senha às partes interessadas antes de um projeto de migração, bem como os benefícios que eles fornecerão, uma organização pode superar a relutância entre os usuários, abordar suas preocupações e convencê-los de que isso facilitará suas vidas.
FONTE: HELPNET SECURITY