0
0
Por Gregory Vigroux | Senior Product Manager da Thales
Originalmente projetado para o mercado consumidor, o padrão FIDO (Fast IDentity Online) tem como objetivo substituir as senhas por métodos de autenticação mais seguros para serviços online. Embora versões recentes, como o FIDO 2.1, comecem a atender às necessidades empresariais, ainda existem lacunas significativas que as organizações devem enfrentar para simplificar, acelerar e garantir a segurança da implementação.
As empresas enfrentam desafios exclusivos em comparação com os consumidores ao implementar chaves de segurança FIDO. Por exemplo, elas precisam proteger uma variedade de recursos digitais, desde sistemas legados até aplicativos modernos em nuvem. Além disso, os funcionários utilizam uma gama de dispositivos computacionais, o que complica ainda mais a integração das chaves FIDO.
Além disso, o grande número de usuários em uma empresa torna a implementação e o gerenciamento das chaves FIDO complexos. Por fim, as empresas devem aderir a regulamentos rigorosos de segurança e privacidade de dados, os quais os padrões FIDO devem suportar.
Desafios que as empresas enfrentam ao implantar chaves FIDO
Existem vários desafios que os profissionais de segurança de TI em grandes organizações enfrentam ao implementar chaves FIDO, relacionados à experiência do usuário, sobrecarga administrativa e segurança. Esses incluem:
- Experiência do Usuário e Educação
- A Curva de Aprendizado: A transição de senhas tradicionais para chaves FIDO exige que os usuários se adaptem a um novo método de autenticação. Essa mudança requer uma alteração significativa no comportamento e compreensão, pois os usuários precisam aprender a manusear e usar as chaves FIDO de forma eficaz. Qualquer falta de familiaridade com essa nova tecnologia pode levar a confusão e frustração, especialmente para os que não têm habilidades técnicas.
- Configuração Inicial: O auto-registro de chaves de Provedor de Identidade Empresarial (IDP) pode ser particularmente complexo para usuários não técnicos. O processo geralmente requer um suporte substancial de TI para orientar os usuários durante a configuração inicial e pode se tornar oneroso em empresas grandes, especialmente quando a verificação de identidade depende de OTPs via e-mail.
- Chaves Bloqueadas: Se os usuários esquecem seu PIN, a única solução é redefinir completamente e registrar a chave novamente, o que aumenta a complexidade e inconveniência. Esse passo adicional pode ser particularmente árduo, pois os usuários precisam passar pelo processo de registro novamente, frequentemente necessitando de mais ajuda de TI para concluir a tarefa.
- Sobrecarga Administrativa
Auxiliar os usuários que fazem mau uso das chaves FIDO, como perdas, PINs esquecidos ou redefinições acidentais, cria uma sobrecarga administrativa substancial. Cada incidente exige a intervenção do suporte de TI, o que pode ser demorado e consumir muitos recursos. Esse ônus é ampliado em grandes empresas com vários usuários e dispositivos, pois o volume de solicitações de suporte pode aumentar rapidamente. - Buracos de Segurança
- Autenticação Inicial Fraca: Confiar em métodos menos seguros, como combinações de nome de usuário/senha ou OTPs via SMS, para o registro do autenticador FIDO expõe o sistema a ataques de phishing, tomadas de contas e atividades fraudulentas.
- Comprimento do PIN: O padrão FIDO 2.0 permite que os usuários definam PINs com 4 dígitos, o que não atende aos altos níveis de segurança exigidos por muitas organizações, especialmente em mercados regulamentados. Embora o FIDO 2.1 introduza a capacidade de impor configurações de comprimento mínimo de PIN e aumentá-lo para 6 dígitos ou mais, as organizações devem garantir que essas configurações não possam ser contornadas durante as redefinições da chave.
- Falta de 2FA: Certos serviços online podem não exigir que os usuários forneçam seu PIN ou dados biométricos durante a autenticação, reduzindo a segurança geral.
Como superar os desafios
Ao implementar chaves de segurança FIDO dentro de uma empresa, é crucial não apenas focar no passo de autenticação, mas fortalecer cada etapa do ciclo de vida, desde a ativação da chave FIDO até sua revogação.
CISOs e profissionais de segurança de TI têm duas opções:
- Beneficiar-se do padrão FIDO 2.1 (ou seja, recursos padrão do CTAP2.1 para Empresas) e impor recursos padrão, como mudança de PIN no primeiro uso, verificação de usuário ou comprimento mínimo de PIN.
- Comprimento Mínimo do PIN: Empresas podem definir um comprimento mínimo de PIN durante a fase de configuração.
- Impor Verificação de Usuário: Verificação de usuário diretamente na chave FIDO, obrigando o registro do PIN ou biometria independentemente do contexto de autenticação.
- Mudança de PIN no Primeiro Uso: Obriga os usuários a definir seu próprio PIN antes de usar a chave.
- Ir além do padrão FIDO 2.1 e aproveitar os recursos exclusivos de FIDO para empresas, além dos recursos padrão do FIDO2.1.
- Modo Gerenciado: Garante que apenas o operador de TI gerencie operações sensíveis nas chaves, como definição de políticas de segurança, rastreamento de uso, desbloqueio ou revogação.
- Configurar Lista de Permissões de Serviços: Limita o uso das chaves FIDO gerenciadas pela organização apenas para serviços autorizados.
- Garantir Comprimento Persistente do PIN: Impede que os usuários alterem o comprimento mínimo de PIN definido pelo operador de TI.
- Desbloquear Chaves FIDO: Permite que o operador de TI desbloqueie as chaves FIDO após várias tentativas falhas.
Acelerando e Garantindo a Implantação das Chaves FIDO com Gerenciamento Centralizado de Ciclo de Vida
O gerenciamento centralizado das chaves FIDO permite que as organizações controlem o ciclo de vida das chaves e reduzam lacunas que possam se transformar em riscos de segurança. A solução de ponta a ponta da Thales combina uma plataforma de gerenciamento interoperável com chaves FIDO da Thales, projetadas especificamente para uso em grandes organizações, ajudando as empresas a acelerar e garantir sua jornada sem senha.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.