Mecanismos interessantes estão sendo implementados e em desenvolvimento para melhorar a segurança cibernética e a experiência dos usuários, mas é importante analisar caso a caso para avaliar benefícios e desafios de implementação e desafios de atualização
A Redbelt
Security, consultoria de cibersegurança, vem analisando há algum tempo os
benefícios e os riscos da autenticação sem senha, uma abordagem que se propõe a
eliminar a necessidade de senhas tradicionais em favor de métodos mais seguros
e convenientes de segurança cibernética. É um método que inclui biometria,
tokens de hardware e autenticação multifator, entre outros, e vem ganhando
destaque devido à resistência a ataques de phishing, malware e força
bruta.
Entre os
benefícios destas autenticações estão a eliminação de riscos relacionados às
senhas, que são frequentemente o elo mais fraco na cibersegurança cibernética,
por serem facilmente roubadas, adivinhadas ou reutilizadas. “Estes mecanismos
reduzem também ataques de phishing e stuffing de credenciais, porque esses
ataques dependem da obtenção de senhas de usuários por meio de engenharia
social ou sites falsos, além de protegerem contra os ataques man-in-the-middle,
por envolver criptografia forte e outros recursos de segurança, tornando maior
a resistência a interceptação de comunicações entre um usuário e um aplicativo por
invasores para roubar credenciais ou dados”, diz Marcos Almeida, gerente do Red
Team e de inteligência de ameaças na Redbelt Security.
Segundo Almeida,
outras vantagens destas autenticações são uma melhor experiência do usuário,
que ganha maior conveniência por não precisar criar, lembrar e gerenciar várias
senhas complexas, tem acesso mais rápido e maior acessibilidade. Além disso,
são reduzidos custos de TI relacionados à redefinição de senhas, suporte ao usuário
e investigações de violações de dados e há melhoria de conformidade com
controles de acesso mais fortes.
Os principais
mecanismos de autenticação sem senha são:
- Fatores de posse: são métodos de autenticação que dependem
de algo que o usuário possui fisicamente. Isso inclui dispositivos móveis
que geram ou recebem tokens de autenticação; aplicativos autenticadores
que geram senhas de uso único baseadas em tempo (TOTPs) ou notificações
push; tokens de hardware (tokens USB ou chaves compatíveis com FIDO2) ou
cartes inteligentes que contêm credenciais de usuário.
- Biometria: usam características físicas ou
comportamentais exclusivas do usuário para autenticação. Isso pode incluir
leituras de impressões digitais, reconhecimento facial, varreduras de
retina e íris, impressões de voz e até mesmo a atividade elétrica do
coração do usuário (ECG).
- Fatores de conhecimento: embora não seja
um método direto de autenticação sem senha, fatores de conhecimento como
PINs ou respostas a perguntas secretas podem ser usados em combinação com
outros métodos em uma configuração de autenticação multifator (MFA).
- Links mágicos: links mágicos são URLs exclusivas e de
uso único, enviadas para o e-mail ou telefone de um usuário. Quando o
usuário clica no link, ele é autenticado sem a necessidade de inserir senha.
“Os benefícios têm
motivado o uso crescente desses métodos em setores como finanças, saúde e
governo e destacado seu papel vital na proteção de dados sensíveis e na
conformidade regulatória. Mas existem discussões sobre as limitações atuais da
autenticação sem senha, especialmente em relação aos deepfakes e à verificação
da verdadeira identidade do usuário”, alerta Almeida.
O executivo da
Redbelt Security explica que “estratégias como autenticação baseada em contexto
e identificação adaptativa de riscos, podem mitigar danos, sendo essenciais
para enfrentar as ameaças avançadas na era digital. Porém, é fundamental
considerar que a adoção de uma estratégia de cibersegurança com autenticação
sem senha exige mudanças na infraestrutura e nos processos de TI e que é
necessário escolher métodos que sejam fáceis de usar e acessíveis a todos os
usuários.
“Os métodos de
autenticação sem senha devem ser robustos e oferecer proteção adequada contra
quaisquer ataques. Entretanto, apesar de oferecerem um caminho promissor para
melhorar a segurança cibernética e a experiência do usuário, eles ainda estão
em desenvolvimento e podem não ser ideias para todos os tipos de empresas e
indivíduos, que devem considerar cuidadosamente seus benefícios e desafios
antes de implementar qualquer solução”, recomenda Almeida.
Redbelt Security
Para mais informações sobre a consultoria, acesse: Link
Nenhum comentário:
Postar um comentário