Qualquer pessoa que use a internet sabe das dificuldades de usar um nome de usuário e senha para acessar suas próprias informações, seja seu banco, compras on-line, mídia social, informações médicas etc. Se você é um CIO, um CISO ou qualquer outro executivo em uma empresa que está pensando em segurança digital, o paradigma de nome de usuário / senha é mais do que um incômodo, é um verdadeiro desafio de segurança, que mantém muitos de nós à noite.
Posso dizer que a implantação de uma estratégia corporativa para eliminar senhas não é fácil, mas também não é tão difícil quanto você pensa. Quando eu disse aos nossos líderes seniores que eliminaríamos as senhas em cerca de 24 meses, eles aplaudiram. Quando eu disse que chegar lá interromperia temporariamente o suporte para aplicativos e dispositivos de linha de negócios selecionados, eles tinham dúvidas. O que eu compartilho com você hoje é baseado no que aprendemos nesse processo.
Eu tenho falado sobre a eliminação de senhas por um tempo agora, alinhando-se aos nossos princípios de estratégia de identidade, e a resposta mais comum que recebo de meus colegas é: “Ótimo, como posso fazer isso na minha empresa?” Hoje, eu delineio as etapas básicas necessárias para eliminar as senhas, com o reconhecimento de que ainda estamos na jornada. Acredito que traçamos o caminho certo, mas ainda não terminamos.
O primeiro passo é segmentar a população de usuários em sua rede. Você terá que separar seus usuários em dois grupos: 1) usuários em um limite de conformidade (por exemplo, pessoas que lidam com informações de cartão de crédito / pagamento); e 2) todos os outros. Essa segmentação é necessária porque existem requisitos de conformidade em alguns setores que, essencialmente, exigem o uso de nomes de usuário e senhas. Até que os regulamentos alcancem a tecnologia, as pessoas neste segmento serão forçadas a continuar usando senhas. A boa notícia é que o restante da população de usuários provavelmente é bastante considerável e pode avançar na jornada rumo à eliminação de senhas.
Depois que a população de usuários é segmentada, as etapas restantes podem ser seguidas e não precisam ser feitas sequencialmente. Se você seguir essas etapas, terá uma experiência de usuário muito superior para seus funcionários e uma rede mais segura enquanto estiver no caminho para a conclusão de senhas em seu próprio ambiente:
- Senhas proibidas: crie uma lista de senhas proibidas que a seus usuários não pode utilizar. Essas são as senhas mais usadas, como qwerty123, 123456, password1 e aquelas que são fáceis de adivinhar, como equipes esportivas e combinações de mês / ano. Essa lista pode ser criada usando a proteção por senha do Azure AD (Active Directory do Azure), que funciona em um ambiente híbrido e aproveita o aprendizado de máquina das autorizações de 650B todos os meses. Você também pode criar uma lista por meio de outras ofertas de serviços disponíveis no setor.
- Usar Autenticação Multifator (MFA) – O MFA, ou autenticação de dois fatores, é um método de autenticação seguro no qual um usuário só recebe acesso após apresentar com êxito pelo menos duas partes separadas de evidência a um mecanismo de autenticação. O uso do MFA é a prática de segurança mais eficaz que as empresas NÃO estão empregando. Empregamos o MFA em nosso ambiente por meio do Windows Hello, do Microsoft Authenticator e / ou do Azure MFA, mas há várias opções para implementar o MFA, incluindo chaves de FIDO, cartões inteligentes e tokens. Na verdade, anunciamos recentemente que as empresas agora podem passar sem senha com a visualização pública do suporte a chaves de segurança FIDO2 no Azure AD, facilitando ainda mais a implementação do MFA. E, ao contrário da crença popular, não somos um ambiente exclusivo da Microsoft; nossa rede inclui todos os sistemas operacionais e plataformas disponíveis.
- Modernize o hardware – Idealmente, você atualizaria seu hardware para adicionar recursos de leitores biométricos e Trusted Platform Module 2.0 (TPM2.0), ou FIDO 2.0 e superior. A biometria pode substituir senhas e criar uma experiência quase sem atritos para os usuários. Existem outras opções de hardware compatíveis com o MFA, que não proporcionam uma experiência do usuário tão fácil quanto a biometria, mas ainda oferecem suporte à MFA e oferecem uma segurança muito melhor. A tecnologia TPM fornece funções relacionadas à segurança e relacionadas ao hardware, que também podem ser usadas no lugar das senhas tradicionais.
- Autenticação legada – A etapa final e mais difícil do processo é eliminar o uso da autenticação legada. Isso inclui todos os protocolos que usam autenticação básica e não podem impor nenhum tipo de autenticação de segundo fator. Essa etapa é demorada, trabalhosa e pode criar dores de cabeça quando, ocasionalmente, interrompe os serviços. Se sua empresa já estiver totalmente na nuvem e não tiver nenhuma autenticação legada em qualquer lugar, você poderá eliminar senhas rapidamente. Para o resto de nós, vai demorar mais tempo. Há recursos no Azure AD que permitem uma visualização dos logs de auditoria e ajudam a identificar os aplicativos que estão usando a autenticação herdada. Uma abordagem para essa etapa é bloquear a autenticação legada por meio de acesso condicional.
Meu último conselho é pensar cuidadosamente sobre como você se envolve com os usuários para implementar todas as etapas descritas neste blog. Promova os benefícios do usuário no início do seu programa. Esta é uma lição que aprendi da maneira mais difícil. Quando começamos este caminho, comecei a promover o uso de “MFA em todos os lugares” para nossos funcionários. As pessoas interpretaram isso como exigindo cartões inteligentes em todos os lugares. Eles viram isso como mais uma exigência técnica e complicada do departamento de TI. Por fim, percebi que nossos funcionários estavam entusiasmados com a eliminação de senhas, então me comuniquei com eles sobre como cada etapa nos ajudou com esse objetivo. Eu tenho uma resposta muito mais positiva. Quando as pessoas percebem que nossos esforços melhoram sua experiência, é fácil obter sua participação entusiasmada.
Como mencionei acima, ainda estamos nessa jornada e estamos lutando com os mesmos desafios que todos os outros enfrentam. Uma coisa que eu tento lembrar é o ditado sobre não deixar a perfeição ficar no caminho do progresso. Seguir todas as etapas descritas acima ajudará a melhorar seu ambiente de segurança, mesmo que a eliminação total de senhas seja algo que você não conseguirá por anos. Não alcançamos nosso objetivo final, mas estamos progredindo e, atualmente, mais de 90% dos nossos funcionários podem fazer login em nossa rede sem digitar uma senha. Quando nossos usuários não precisarem mais digitar uma senha, poderemos eliminar totalmente as senhas. Acreditamos que conseguiremos isso em cerca de 18 a 24 meses. À medida que progredimos em nossa busca pela eliminação de senhas, continuamos compartilhando o que aprendemos.
Para saber mais sobre ir sem senha, visite O fim das senhas.