0
0
O fato de continuarmos a confiar em senhas tão profundamente na era digital é mais do que um pouco chocante. Essas sucatas alfanuméricas, o equivalente a chaves de esqueleto digital, já serviram como uma ferramenta valiosa. Infelizmente, as senhas agora são muito mais problemáticas do que valem. Eles fornecem pouca proteção contra roubo de identidade, violações e uma infinidade de outros problemas.
No entanto, abandonar completamente as senhas está fora de questão — pelo menos por enquanto. Embora eles possam ser classificados como uma falha de segurança quase total e uma desgraça para todos, eles continuam sendo um padrão arraigado. Consequentemente, a autenticação multifatorial (MFA) tornou-se uma necessidade, mas também apresenta desafios que beiram problemas absolutos.
Esta é a primeira de uma série de duas partes sobre como as empresas podem adotar métodos de autenticação mais fortes e melhores. Embora haja uma necessidade imediata de impulsionar a adoção do MFA, também é fundamental passar para estruturas mais avançadas e seguras sem senha, incluindo aquelas que usam biometria.
Constrangimento das Riquezas
Como em toda tecnologia, um acúmulo de soluções acaba se tornando um novo problema. A maioria das organizações e muitos consumidores reconhecem a necessidade de ir além da autenticação somente por senha. No entanto, a autenticação de dois fatores (2FA) e até mesmo muitas técnicas MFA nunca foram projetadas para as estruturas digitais sofisticadas de hoje.
“Quando você faz login em seis sistemas diferentes durante o dia e cada um deles usa um método diferente … você acaba com o TEPT de autenticação de dois fatores”, diz Michael Engle, cofundador e diretor de segurança da 1Kosmos. “Você passa um tempo significativo buscando códigos e lançando aplicativos.”
A combinação de métodos – incluindo senha única baseada em tempo (TOTP), SMS e e-mail 2FA, 2FA baseado em push, tokens universais de segundo fator (U2F), WebAuthn e agentes de desktop – introduz uma variedade muitas vezes confusa de opções para empresas e consumidores. Para piorar as coisas, eles oferecem diferentes níveis de proteção, e a maioria das pessoas não está equipada para entender os prós e contras. Por exemplo, os códigos SMS e e-mail amplamente utilizados são facilmente interceptados ou violados quando um bandido tem acesso a um dispositivo. Kits de ferramentas que facilitam ataques man-in-the-middle e outras explorações de senha estão agora amplamente disponíveis em sites como o GitHub.
A fadiga do consumidor e das empresas está em um ponto de ruptura. E embora os sistemas MFA e sem senha significativamente melhores estejam tomando forma – a Apple, o Google e a Microsoft anunciaram que estão se mudando para logins sem senha baseados no padrão FIDO2 – as organizações continuam a lutar com a adoção.
Design, usabilidade e funcionalidade são críticos. Há uma necessidade de convencer as pessoas a ir além de uma senha básica e adotar o MFA, mas também é fundamental implantar métodos MFA de nível superior ao passar para sem senha.
“Isso requer melhor experiência do usuário e educação. É necessário que o processo seja contínuo”, diz Don Tait, analista sênior da Omdia Consulting.
Negócios Arriscados
É um fato surpreendente e totalmente perturbador: apesar de uma sequência aparentemente infinita de hacks, ataques, violações e avarias – 81% das violações relacionadas a hackers são causadas por problemas de senha – apenas 29% dos consumidores acreditam que o inconveniente do 2FA sempre vale a pena o compromisso de segurança. Cerca de 36% estão dispostos a usar o 2FA em alguns casos, dependendo da importância da conta.
As razões para essa reticência estão, pelo menos em parte, enraizadas na natureza do mundo on-line de hoje. Para o bem ou para o mal, as pessoas esperam que as páginas da Web sejam carregadas instantaneamente e buscam acesso a contas sem qualquer latência – mesmo quando dezenas de APIs e servidores em todo o mundo são necessários para uma transação. Notavelmente, um estudo realizado pela Microsoft descobriu que a pessoa média tem apenas um período de atenção de aproximadamente oito segundos.
No entanto, também está claro que as estruturas MFA podem ser um grande aborrecimento. Muitas vezes, é necessário solicitar um código de texto ou retirar um telefone e abrir um aplicativo autenticador do Google ou Microsoft e digitar um código. Enquanto isso, tokens físicos, como o YubiKey, oferecem segurança estelar — mas podem ser difíceis de configurar e usar.
A participação do MFA está aumentando devido à pandemia e aos avisos sinistros sobre os riscos de confiar apenas em uma senha; Okta descobriu que a adoção do MFA aumentou cerca de 80% durante os estágios iniciais da pandemia. No entanto, os ataques estão aumentando e se tornando mais sofisticados. O resultado líquido é um movimento relativo para trás.
“Há muitas empresas pensando muito pouco em como implementar sistemas MFA e sem senha mais avançados”, diz Jasson Casey, CTO do fornecedor de autenticação Beyond Identity. “Você não pode construir uma arquitetura de segurança sem considerar o design e a usabilidade. À medida que o nível de atrito aumenta, a participação diminui.”
Essas questões se desdobram de várias maneiras. Os elementos de design podem ocultar opções de MFA ou fornecer instruções confusas sobre como configurá-lo. Às vezes, eles fornecem avisos confusos ou sinistros que assustam os usuários, ou um site ou serviço não comunica o valor do uso do MFA. Frequentemente, os usuários não veem nenhuma razão convincente para adotar essa camada adicional de segurança.
“As pessoas recorrem aos serviços digitais porque estão procurando facilidade de uso e conveniência”, diz Kalev Rundu, gerente sênior de produto da empresa de autenticação Veriff. O MFA não deve ser diferente. Deve se encaixar perfeitamente com a interação digital mais ampla e oferecer uma vantagem clara ou outras formas de autenticação.
Projetos de Segurança
Ganhar buy-in é fundamental. Pesquisadores do Instituto Max Planck de Segurança e Privacidade; da Universidade da Califórnia, San Diego; e do Facebook descobriram que uma das chaves para convencer as pessoas a ativar o MFA é apresentar a decisão como uma escolha de empoderamento pessoal. Isso pode incluir uma mensagem como “Você pode aumentar sua proteção contra hackers de contas” ou “Proteja sua conta, páginas e amigos”.
Quando os pesquisadores testaram essa abordagem de responsabilidade pessoal com botões de acompanhamento no Facebook, isso levou a um aumento na adoção do MFA em 33% entre 622.419 participantes. Quando os usuários visualizavam uma mensagem sobre as vantagens de serem protegidos, eles tinham 28% mais chances de adotar o MFA. Por outro lado, o botão de responsabilidade corporativa não levou a nenhuma mudança de comportamento.
Outra técnica que impulsiona a adoção gira em torno de um incentivo ou recompensa – uma abordagem que já ganhou força em plataformas de jogos como Fortnight e World of Warcraft. Em 2019, um grupo de pesquisadores da Universidade de Bonn e da Universidade Leibniz de Hannover, na Alemanha, descobriu que até mesmo um pequeno incentivo, como um avatar atualizado ou outro pequeno presente, pode aumentar os números.
Cores, posicionamento e elementos de design também são importantes. Entregar a solicitação no momento certo – sem interromper o fluxo de uma interação ou transação – é crucial.
“Deve ser tão fácil que fazê-lo pela primeira vez quase não tenha atrito”, diz Engle, da 1Kosmos. Códigos QR e autenticações push-to-app podem ajudar, especialmente quando um usuário pode autorizar o login a partir de um dispositivo autorizado separado.
Ainda assim, nenhuma dessas abordagens é perfeita — e não são à prova de balas. O futuro do MFA e dos sistemas completos sem senha está na biometria, no FIDO2 e nos sistemas emergentes que não apenas se autenticam em uma conta em um dispositivo, mas também verificam a identidade de uma pessoa.
“Uma nova era de autenticação está surgindo”, diz Tait, da Omdia.
Na parte 2, o Dark Reading analisa o espaço sem senha em rápida evolução e o que as empresas precisam fazer para acabar com as senhas de uma vez por todas.
FONTE: DARK READING