Os incidentes de roubo de identidade são uma consequência direta de nossa preferência histórica, como seres humanos, pela conveniência em comparação com a segurança. Somado a isso, temos a indisposição das organizações em reconhecer que essa conversa mudou.

Embora seja verdade que nós, como consumidores, ainda desejamos realizar as nossas transações on-line sem “inconvenientes”, incluindo aquelas em que temos que fazer uma autenticação inicial, estamos cada vez mais sendo forçados a aumentar o nosso nível de tolerância a procedimentos de autenticação de identidade.

Isto é especialmente verdadeiro no caso de quem já foi vítima. As pessoas e organizações que tiveram suas credenciais de identidade mal utilizadas, não apenas se tornam mais tolerantes a regras mais rígidas, como sentem a necessidade de adotar essas regras.

Entretanto, a maioria ainda tem dificuldade em entender que, se a autenticação for fácil para elas, será igualmente fácil para um criminoso. O roubo de identidade afeta milhões de pessoas todos os anos e é um problema grande e crescente que devemos enfrentar.

Os responsáveis pela segurança cibernética das organizações devem começar a pensar de forma diferente sobre o que é necessário para manter os ambientes interno e externo seguros e tomar medidas incrementais para determinar o nível de fricção que sua base específica de usuários e consumidores pode tolerar.

Segredos compartilhados

Quer você perceba ou não, nossa era atual de computação móvel e na nuvem pode ser definida, tanto positiva quanto negativamente, por segredos compartilhados.

Os segredos compartilhados, ou seja, as senhas, autenticação simples e autenticação de vários fatores, configuram uma relação síncrona entre usuários e organizações que possuem o mesmo segredo, como por exemplo, bancos on-line, sites de mídia social e aplicativos de terceiros.

Tanto o processo de autenticação de credenciais quanto o banco de dados centralizado de senhas e outros segredos compartilhados, criam uma possível superfície de ataque para que hackers mal-intencionados interceptem as informações.

Com as credenciais roubadas, os cibercriminosos podem se passar por usuários ou realizar ataques de phishing ou credential stuffing por meio de acesso não autorizado. “Credential stuffing” é um tipo de ataque no qual os cibercriminosos testam automaticamente combinações de nomes de usuário e senhas extraídos de algum vazamento, para obter acesso a uma conta em outros serviços.

Os roubos de senhas e de outras informações sensíveis estão causando estragos tanto para consumidores quanto para as organizações. No entanto, as empresas com visão de futuro estão substituindo senhas e outros protocolos de autenticação secreta compartilhada, por uma abordagem que aproveita um dos avanços tecnológicos mais subestimados que muitos de nós usamos todos os dias, a biometria.

Uma epidemia de ataques cibernéticos alimentada por roubo de senha

Segundo a revista (IN)SECURE Desde 2016, mais de 5 bilhões de senhas foram roubadas no mundo todo. Além disso, as tentativas de logins em sites de bancos que vêm de fontes mal-intencionadas representam 56% de todos os logins. Essa é apenas a ponta do iceberg quando se trata de fraude de autenticação.

A solução mais provável para esse problema está em ir além das normas atuais de confiança, baseadas em senha secreta compartilhada. Mesmo algumas das medidas de segurança de login mais avançadas, como autenticação de 2 fatores (2FA), autenticação multifator (MFA) de telefone, como token e autenticação de 2 fatores por SMS têm suas fraquezas porque elas ainda estão ligadas ao legado de segredos compartilhados.

Cada vez mais, equipes inteligentes estão adotando soluções sem senha para garantir que os dados de seus clientes e suas próprias infraestruturas permaneçam seguros. De longe, o melhor meio de operar em um ambiente sem senha é através de soluções de login biométrico.

A substituição das senhas pode ser lenta

Qualquer alternativa às senhas será recebida com desconfiança e enfrentará a típica adoção lenta de qualquer nova tecnologia. Mas a integração de uma solução sem senha deve ser mais simples e rápida. Embora a maioria dos usuários de dispositivos móveis já esteja acostumada com a autenticação biométrica, fazer com que eles adotem a segurança sem senha em outros dispositivos ainda pode ser um processo lento.

As equipes de segurança cibernética devem garantir que todos os dispositivos móveis em toda a empresa possam estar aptos para a autenticação em estações de trabalho, aplicativos e sistemas de acesso físico. As organizações podem então remover a senha do processo de login, criando processos de autenticação biométrica que imitam aqueles que os usuários estão acostumados com dispositivos móveis.

A única maneira pela qual as equipes de operações e segurança cibernética de TI podem fazer com que a implantação de um sistema sem senha seja um sucesso, é fazer isso de maneira gradual e iterativa.

Mover-se para um modelo descentralizado, entre outros desafios, deve deixar os usuários confortáveis com o novo sistema. Ao contrário das senhas, os identificadores biométricos não podem ser alterados, tornando-os descentralizados por natureza. É preciso explicar a todos de forma transparente, as razões pelas quais o ambiente descentralizado é preferível e quais são os benefícios da migração para a autenticação biométrica. Certamente esses cuidados com a comunicação adequada podem tornar a adoção muito mais fácil.

Por que a autenticação biométrica é mais segura?

Em um mundo sem senhas, as senhas, PINs, códigos SMS e outras tecnologias de autenticação são substituídos por criptografia de chave pública. As chaves privadas são geradas pelo usuário em seus dispositivos e permanecem sempre no dispositivo. Os sensores biométricos, como aqueles que já estão disponíveis nas versões mais recentes dos dispositivos móveis da Apple, Android e Windows, podem desbloquear essas credenciais verificadas em um servidor de autenticação, usando criptografia de chave pública. Em vez de armazenar senhas e segredos compartilhados em um banco de dados, as credenciais são armazenadas com segurança nas áreas mais confiáveis dos smartphones e dispositivos dos usuários.

A mudança de paradigma dos segredos compartilhados está acontecendo e cada vez mais as organizações devem considerar a mudança. Trata-se de viver em um mundo sem senhas ou continuar a lidar com phishing, acessos não autorizados a contas, fraude ou coisa pior.