0
0
O primeiro artigo desta série de duas partes examinou maneiras de melhorar a autenticação multifatorial (MFA) e impulsionar a adoção. Esta história analisa como as organizações podem adotar MFA mais avançados sem senha e verdadeiros sistemas sem senha.
Ficar sem senha não será fácil, mas o conceito está finalmente ganhando força. Embora vários fornecedores tenham oferecido MFA sem senha e verdadeira tecnologia sem senha por alguns anos – principalmente relegado ao uso corporativo – uma estrutura mais abrangente está agora tomando forma. A Apple, o Google e a Microsoft concordaram em adotar seriamente sem senha.
Por exemplo, a Apple apresentará as chaves, que substituem completamente as senhas usadas para fazer login em sites, em alguns meses. A estrutura, baseada no padrão FIDO Alliance, usa biometria, como o Face ID, para gerar uma chave digital única e criptografada que reside apenas no dispositivo e dentro de uma chave de chave criptografada usada para outros dispositivos Apple, incluindo iPhone, iPad, Mac e Apple TV. Isso o torna impermeável ao phishing e a outras formas de extração de dados.
Em 2020, a Microsoft recorreu à biometria para autenticação no Windows 10 e Windows 365 — e a empresa também está expandindo sem senha para sites. Além disso, todas as três empresas estão adicionando a capacidade de transferir esses dados de identidade entre dispositivos e sistemas autenticados. No passado, trocar de telefone ou outros dispositivos normalmente significava reinstalar credenciais — uma tarefa demorada e irritante.
Além de criar biometria e outros mecanismos de segurança em seus sistemas operacionais, os Três Grandes estão introduzindo kits de desenvolvimento de software (SDKs) que as empresas podem usar para criar sites sem senha. Como resultado, em breve será possível que os consumidores comecem a abandonar senhas para sites e serviços compatíveis. Como a Chave de acesso da Apple, um telefone celular ou outro dispositivo registrado autentica a pessoa e, em seguida, envia a solicitação para o servidor sem enviar os dados biométricos.
“Onde os grandes fornecedores lideram, todos os outros seguem”, diz Don Tait, analista sênior da Omdia.
No centro dessa transformação está a Aliança FIDO. “É um exemplo clássico do impacto da consumização na tecnologia”, acrescenta Rik Turner, analista sênior da Omdia. “À medida que as pessoas começam a usar ferramentas em suas vidas privadas, elas começam a se infiltrar no local de trabalho.”
Uma Questão de Identidade
Especialistas em segurança dizem que o primeiro passo na construção de uma melhor estrutura de autenticação é parar de usar métodos desatualizados, como palavras secretas e códigos únicos para verificar os usuários. Até mesmo aplicativos push são vulneráveis a explorações. Por exemplo, os criminosos que obtêm acesso à rede de uma empresa ou a um sistema MFA podem gerar solicitações de autenticação falsas que alguém possa autorizar em um momento de distração ou desatenção.
Mesmo as YubiKeys altamente seguras e outros tokens U2F não estão isentos de vulnerabilidades e soluções alternativas. Por exemplo, se um usuário esquecer a chave ou não puder usá-la por algum motivo, a solução alternativa típica é reverter para um código de texto ou uma forma menos segura de MFA como backup. Nesse ponto, mesmo um token digital ultraseguro não pode fornecer proteção.
É fundamental um uso mais profundo e mais amplo da biometria e dos métodos de verificação do usuário, incluindo autenticação baseada em presença e modelos comportamentais ou baseados em atividades. Isso inclui o uso do protocolo FIDO WebAuthn, que fornece uma API que suporta registro e autenticação de criptografia forte e de chave pública. Pode ser combinado com um método de autenticação contínua que verifica a identidade da sessão por meio de um token persistente.
Várias empresas, incluindo Beyond Identity, Veriff, 1Kosmos e Jumio, adotaram esse tipo de abordagem. Eles dependem dos padrões FIDO que se ligam à biometria, juntamente com um método de prova de identidade altamente seguro. Normalmente, eles pedem aos usuários que forneçam um documento, como uma carteira de motorista ou um passaporte, que é armazenado com segurança em um aplicativo no dispositivo. Uma selfie ou verificação facial garante que tudo corresponda e autentique o usuário.
Por exemplo, a Veriff, que trabalha em 190 países, em 35 idiomas e com 8.000 IDs, executa uma verificação de identidade on-line baseada em blockchain em poucos segundos. Ele usa um mecanismo de decisão suportado por IA que incorpora feedback em tempo real por meio de uma verificação de documentos, varredura biométrica, comparação de rostos, vídeo em segundo plano e análise de dispositivos e redes. Instituições financeiras, profissionais de saúde e outros que usam a tecnologia também podem reduzir contas falsas e fraudes.
“Isso cria uma barreira que é muito mais difícil para um mau ator inteligente e determinado contornar”, diz Kalev Rundu, gerente sênior de produto da Veriff. “As pessoas hoje estão muito mais dispostas a usar a biometria para autenticação, mas só estão prontas para fazê-lo se receberem valor real em troca e puderem manter o controle sobre como e onde seus dados são usados.”
Pensamento Avançado
A mudança para MFA sem senha e verdadeiro sem senha continua sendo uma marcha lenta. Por enquanto, a autenticação avançada é mais viável dentro da empresa, onde é um ambiente fechado e controlado. Michael Engle, cofundador e CSO do fornecedor de soluções MFA sem senha 1kosmos, estima que 80% das senhas podem ser eliminadas quase que imediatamente com a estratégia e as ferramentas certas.
Por enquanto, os analistas da Omdia, Tait e Turner, recomendam migrar para o MFA sem senha sem demora. A estrutura não apenas oferece uma experiência melhor e mais segura para o cliente, mas também pode impulsionar o crescimento da receita, argumentam eles. Além disso, é aconselhável introduzir verdadeiros sistemas sem senha e construí-los através da FIDO Alliance, bem como através do Apple Passkeys e dos sistemas sem senha equivalentes no Google e na Microsoft.
Ao longo do caminho, também é essencial educar clientes e funcionários sobre autenticação sem senha e garantir que as pessoas entendam que seus dados biométricos estão sendo usados como porta de entrada para aplicativos e a Internet. A combinação de melhor experiência do usuário, incentivos e processos mais simplificados pode, a longo prazo, aumentar a segurança, melhorar a confiança e reduzir os custos de segurança.
Diz Jasson Casey, CTO da Beyond Identity: “No final, o objetivo não é eliminar senhas, embora essa seja uma causa nobre. É para criar uma melhor segurança e um ambiente de computação mais seguro para todos.”
FONTE: DARK READING