Por que agora é a hora da autenticação sem senha [Q&A]

Embora a morte das senhas tenha sido prevista há muito tempo, a mudança para outras formas de autenticação tem sido extremamente lenta até recentemente.

A mudança para o trabalho remoto impulsionada pela pandemia aumentou o interesse em proteger redes mais amplas e isso colocou a autenticação sem senha no centro das atenções. Conversamos com Tom Bridge, Gerente Sênior de Produto da JumpCloudpara saber mais sobre a tecnologia e os benefícios que ela oferece.

BN: O que exatamente é sem senha?

TB: Acesso sem senha é o que diz – faça login ou autentique-se por meio de outras formas de autenticação para verificar quem é alguém antes de permitir que eles acessem algo. Ao substituir as senhas por uma rota alternativa, você pode interromper ataques comuns à sua TI, como preenchimento de credenciais, adivinhação de senha de conta ou compartilhamento de engenharia social. As formas comuns de obter autenticação sem senha incluem o uso de dispositivos de funcionários com autenticação push, links inteligentes enviados para endereços de e-mail ou um token físico. Da mesma forma, o Passwordless pode usar autenticação biométrica com impressão digital ou reconhecimento facial para provar que alguém é quem diz ser em um momento e local específicos.

Ele também resolve o problema de gerenciamento de políticas de senha em que os usuários precisam alterar regularmente suas credenciais. Isso pode levar a mais reutilização de senhas e contas menos seguras ao longo do tempo.

Nenhuma senha também abrange o uso de chaves de acesso, o que significa que você pode bloquear a autenticação para um domínio específico. Isso significa que os usuários não podem sofrer phishing, que é um dos maiores problemas enfrentados pelas empresas, independentemente do tamanho. Apple adicionou suporte para senhaspor exemplo, ajudando todos a se apropriarem dessa abordagem.

BN: Por que as empresas devem olhar para esta área? Como isso os ajuda?

TB: A Verizon descobriu que 61% dos crimes que as empresas sofreram envolviam dados de identificação. Em vez de vulnerabilidades de software ou falhas de dia zero em software que exigiam enorme habilidade para executar, muitas violações equivalem a deixar uma porta aberta para sua casa. Não é preciso muita habilidade para tirar proveito desse tipo de acesso, então os maus atores tirarão vantagem de uma identidade coletada, assim como um ladrão faria se tropeçasse em uma porta com uma chave ainda na fechadura.

A remoção de senhas e sua substituição por meios mais eficientes e seguros de gerenciamento de identidade devem ajudar a resolver muitos desses possíveis problemas ao longo do tempo. Ele impede que esses problemas simples induzam hackers a acessar a rede ou os aplicativos e tentar encontrar outras maneiras de roubar dados ou implementar ransomware.

BN: Por que esta área está recebendo tanto hype?

TB: Muitas empresas desejam implementar modelos de segurança Zero Trust para melhorar suas defesas, e o gerenciamento eficaz de identidades é essencial se você deseja migrar para Zero Trust. Você tem que provar que é quem diz ser e manter esse nível de segurança. Isso geralmente significa mudanças na forma como a segurança é implementada, e a ausência de uma senha é uma parte fundamental dessa mudança.

Sem senha precisa ser tão simples de implantar e usar quanto as senhas tradicionais, ou as pessoas não aceitarão ou não encontrarão uma solução. Simplesmente dizer que você está sem senha não é uma bala de prata que impedirá magicamente que os hacks aconteçam. A implementação efetiva da autenticação sem senha requer execução e treinamento para ser adotada.

De acordo com Produtivo no ano passado, o número médio de aplicativos que uma empresa possui é de 254. De todos esses aplicativos, apenas 45% serão usados ​​regularmente. As equipes usarão entre 40 e 60 aplicativos cada, e lembrar as credenciais de todos esses sistemas é apenas um trabalho árduo. A implantação de um gerenciador de senhas e logon único (SSO) pode ajudar seus funcionários a obter acesso mais inteligente e rápido aos seus sistemas e tornar as coisas mais fáceis e seguras para eles.

BN: OK, quais são alguns passos práticos que as pessoas podem tomar em relação a isso?

TB: A implementação sem senha envolve três etapas. Primeiro, você precisa centralizar sua abordagem de autenticação. Em vez de depender do processo de login de cada aplicativo, você coloca tudo em um único ponto de controle. Isso consolida o número de logins que os usuários precisam fazer e o número de senhas que os usuários precisam lembrar.

Usar o SSO vinculado a uma identidade realmente forte e segura é melhor do que ter vários aplicativos, cada um com seu próprio. Da mesma forma, o uso de um gerenciador de senhas pode simplificar o controle de acesso a todos esses aplicativos. Para empresas, ferramentas como single sign-on e gerenciadores de senhas podem ser gerenciadas centralmente, facilitando a distribuição de acesso a usuários e grupos e revogando o acesso do usuário quando você precisar remover esse acesso.

Em seguida, você pode aplicar a autenticação multifator, para que os usuários tenham que provar quem dizem ser. No entanto, com o SSO em vigor, eles devem fazer isso apenas uma vez. O MFA é um precursor fantástico da autenticação sem senha porque sempre tem uma senha armazenada e, ao mesmo tempo, os usuários se acostumam com os fatores de verificação normalmente usados ​​na autenticação sem senha.

Por fim, você deve considerar a implementação de uma estrutura de login FIDO e dimensioná-la ao longo do tempo. FIDO é um conjunto de padrões para autenticação segura sem senha criado pela FIDO Alliance, que ajuda você a preparar sua abordagem para o futuro. Você pode iniciar sua implementação com um grupo de usuários, coletar feedback e resolver problemas percebidos e, em seguida, implementá-la para um número maior de funcionários. Isso deve ajudá-lo a escalar, mas também manter as coisas atualizadas.

BN: A senha sem senha impedirá que hacks aconteçam?

TB: Sem senha não é uma solução milagrosa. Isso interromperá muitos hacks em potencial, mas não melhorará totalmente sua superfície de ataque geral. O que ele alcançará é tornar a segurança mais fácil de implementar e manter ao longo do tempo, protegerá contra alguns dos ataques com script mais fáceis que os hackers podem executar e impedirá alguns dos ataques de engenharia social que os maus atores usam. Você não pode fornecer sua senha quando não a conhece e não pode compartilhar suas credenciais. Essa abordagem se integra bem a outras técnicas de segurança, como impressão digital de dispositivos e acesso condicional.

A coisa mais importante a ter em mente é que não ter senha é manter as coisas fáceis de usar para seus funcionários, ao mesmo tempo em que dificulta o acesso de um invasor à rede de uma empresa.

crédito da imagem: renascer55/depotphotos.com