0
0
O usuário médio tem mais de 100 senhas em vários sites e aplicativos. Esse número, diante dos limites da memória humana, é a razão pela qual a autenticação sem senha é tão promissora. Mas os limites da abordagem atual para identidade e autenticação estão atrasando esse desenvolvimento promissor.
A capacidade de registrar usuários com segurança em uma rede sem ter que lembrar senhas pode ir longe para eliminar um elemento que contribui consistentemente para violações de dados e outras explorações: credenciais comprometidas. Se os usuários precisarem lembrar de centenas de combinações de nomes de usuário e senha e alterá-las regularmente, eles se apoiarão em reutilizar as mesmas combinações familiares. Isso facilita o trabalho dos cibercriminosos, como visto no último “Relatório de Investigações de Violação de Dados” da Verizon, que constatou que 61% das violações envolveram credenciais comprometidas.
Substituir a autenticação baseada em senha por um login sem senha — aquele que usa um fator como identificação biométrica para habilitar login — é considerado uma solução forte para o recente aumento de ataques cibernéticos. Mas, de acordo com uma pesquisa, quase metade das organizações pesquisadas ainda não estão sem senha, e 22% ainda não estão convencidas de sua eficácia.
Algumas das grandes barreiras à adoção não são resultado de deficiências tecnológicas, mas do estado de identidade e autenticação. Muitos aplicativos em uso amplo hoje não são construídos para suportar login sem senha porque identidade e autenticação permanecem em silos.
Esclarecendo a confusão de identidade
Identidade e autenticação são muitas vezes confundidas, mas são conceitos separados. Identidade — estabelecendo quem é quem — é um processo, enquanto a autenticação envolve verificar que a identidade pertence ao usuário que tenta acessar a rede, um aplicativo, recurso, etc., e não algum hacker que roubou ou comprou essas credenciais na Dark Web.
A prova de identidade muitas vezes faz parte do processo de onboarding de uma organização — quando os novos funcionários tiram suas fotos para suas identidades e recebem suas primeiras senhas — que muitas vezes são tratadas por recursos humanos, ou RH com uma ajuda de TI. É o departamento de RH que lida com o processo manual de verificação desses novos funcionários são quem eles dizem ser, por semelhança física, validando a identificação emitida pelo governo, etc.
Isso é tudo muito bom quando se fala de funcionários da empresa, mas o processo se torna mais complicado quando se lida com empreiteiros, fornecedores ou usuários de máquinas que precisam de acesso aos recursos da rede. Algumas novas normas tornaram mais fácil estabelecer uma identidade digital para usuários sem credenciais tangíveis, como passaportes ou carteiras de motorista. Por exemplo, a parte um do NIST 800-63-3 fornece uma abordagem padronizada para verificação de identidade, enquanto a parte dois do NIST 800-63-3 e FIDO2 ajudam a simplificar o uso de biometria para autenticação.
O processo de prova de identidade, que valida a identidade de uma pessoa com base em documentos emitidos pelo governo e biometria facial, é essencial para o processo de autenticação. Mas ele permanece separado dos fluxos de trabalho de autenticação uma vez que a inscrição em um sistema ou aplicativo está concluída. Toda vez que um usuário faz login em um recurso protegido, essa pessoa é desafiada para alguma forma de autenticação, como uma senha, PIN ou biométrica, que não está mais ligada à sua identidade real.
Por exemplo, ao contrário da crença popular, a autenticação biométrica não substitui senhas. Ele abstrai a complexidade de inseri-los manualmente em um sistema. Isso significa que, se uma senha for roubada, um cibercriminoso pode contornar o autenticador biométrico. Além disso, se identificadores biométricos forem armazenados em um banco de dados de autenticação, eles também se tornam um alvo vulnerável para hackers.
Um novo conceito, conhecido como identidade digital distribuída, casa dados de inscrição de identidade e autenticação, e os torna inseparáveis. Em vez de simplesmente desafiar um usuário para um fator de autenticação (senha, PIN, biométrico) que é verificado contra credenciais armazenadas em um banco de dados central de propriedade de um provedor de identidade como o Active Directory ou o Google, uma identidade digital distribuída é controlada pelo usuário.
Por exemplo, FIDO2 e NIST armazenam a chave privada no chip TPM (Trusted Platform Module, módulo seguro de plataforma) do enclave/Trusted Platform Module( TPM), tornando-a acessível apenas através de uma combinação da biometria ao vivo com a capturada no momento da inscrição, para ser compartilhada com segurança quando eles optarem por fazê-lo. Outras abordagens armazenam a chave privada de um usuário em um blockchain criptografado para uma camada adicional de segurança.
O login sem senha é a resposta para preocupações com segurança, privacidade e experiência do usuário. Mas isso só se tornará possível se for habilitado por um novo modelo de identidade distribuída que faz a ponte entre a garantia de identidade e a autenticação.
FONTE: DARK READING