É seguro dizer que ninguém gosta de senhas. Para os diretores de segurança da informação, existe o pesadelo de os funcionários deixarem listas de senhas em suas mesas ou colocá-las em post-its em seus computadores. Para os trabalhadores, existe o inconveniente de ter que inserir diversas senhas para ter acesso a diversos dispositivos e recursos.
A tecnologia de autenticação sem senha foi projetada para resolver esses problemas, e o uso dessas ferramentas está aumentando. UM pesquisa recente com 200 CISOs da Wakefield Analysis, patrocinada pelo fornecedor de segurança Portnox, mostrou que uma maioria significativa (92%) dos líderes de segurança disse que suas organizações implementaram ou planejavam implementar autenticação sem senha. Isso representa um aumento de 70% em 2024. Os CISOs citaram a melhoria da produtividade dos funcionários e a melhoria da experiência do usuário como os principais benefícios.
A autenticação sem senha verifica a identidade do usuário sem a necessidade de senhas tradicionais, por meio de métodos alternativos, como tokens de {hardware}, biometria ou notificações push móveis. Ele oferece benefícios potenciais, como segurança aprimorada e experiência do usuário aprimorada.
O provedor de serviços de treinamento Common Technical Institute começou a usar uma plataforma sem senha da Microsoft, “e à medida que expandimos a adoção, os benefícios aparecem rapidamente, com menos redefinições de senha, menos tickets de service desk e um início de dia mais rápido”, disse Adrienne DeTray, vice-presidente sênior e CIO da empresa.
“O maior impacto é cultural”, disse DeTray. “Isso mostra que levamos a sério a ideia de tornar a tecnologia mais leve e mais humana novamente. Ao longo dos anos, adicionamos tantos sistemas e logins que o peso da tecnologia se tornou parte do trabalho. Esta é uma daquelas etapas que ajuda a remover o peso administrativo e faz com que o ecossistema pareça mais integrado e conectado.”
Não se trata apenas de segurança, disse DeTray, mas também de experiência do usuário. “Cada redefinição ou bloqueio de senha retarda as pessoas e prejudica seu foco”, disse ela. “A tecnologia sem senha elimina esse atrito do dia a dia e devolve tempo às pessoas. Faz parte do projeto de um ecossistema conectado onde a segurança e a usabilidade trabalham de mãos dadas.”
MFA perdendo standing de cibersegurança “padrão ouro”
A R Techniques Worldwide, fornecedora de serviços de engenharia de produtos digitais, está no meio de uma migração em fases para um ambiente sem senha, disse o CTO Srikara Rao. “Para nós, não se trata de perseguir uma tendência, é uma resposta direta ao fato de que nosso padrão ouro anterior, a autenticação multifatorial, está mostrando sua idade”, disse Rao. “O cenário de ameaças evoluiu além do que a MFA tradicional pode suportar.”
A decisão da R Techniques de fazer a mudança é motivada por fatores de segurança e de capacitação de negócios. “Os ataques baseados em credenciais continuam sendo o principal vetor de ameaça, com um aumento significativo nas tentativas de phishing e vários incidentes de quase acidente, ressaltando a urgência de agir”, disse Rao. “Queremos promover soluções dentro da nossa organização que sejam resistentes ao phishing”.
Do lado operacional, as redefinições de senha tornaram-se bastante caras, disse Rao. As reinicializações podem ser caras devido a despesas diretas com mão de obra e custos indiretos significativos, como perda de produtividade dos funcionários e drenagem de recursos de TI. A empresa de pesquisa Forrester estima que uma única redefinição de senha pode custar US$ 70, e isso pode aumentar rapidamente para grandes empresas.
Além disso, é basic que a empresa cumpra os requisitos de conformidade, como o PCI 4.0, que exige que os usuários reautentiquem tudo o que reiniciam ou acessam. “A autenticação sem senha tornará tudo perfeito”, disse Rao. “E, finalmente, à medida que competimos pelos melhores talentos em tecnologia e segurança cibernética, ser uma empresa sem senha sinaliza que somos uma organização com visão de futuro e que prioriza a segurança”.
As políticas de traga seu próprio dispositivo são um fator
O provedor de serviços de saúde Diversus Well being também está migrando para a autenticação sem senha, usando a tecnologia na forma de controle de acesso à rede baseado em certificado.
“Devido à adoção recente de uma política de traga seu próprio dispositivo, nossa auditoria interna anual de conformidade com a HIPAA detectou a falta de controle de acesso à rede como uma de nossas ameaças de alto risco”, disse Neil Ford, administrador de segurança de TI. “Então, começamos a procurar soluções que pudessem ser usadas para mitigar a ameaça.”
A Diversus Well being implantou no início deste ano um sistema da Portnox que usa autenticação baseada em certificado para verificar a identidade dos dispositivos. “Implantamos o certificado por meio de uma solução de gerenciamento de endpoint baseada em nuvem, de forma que a verificação com Portnox seja transparente para a equipe”, disse Ford.
A solução mitigou efetivamente a ameaça de dispositivos desconhecidos se conectarem à rede da empresa e serem capazes de acessar recursos internos, disse Ford.
Uma das chaves para uma adoção bem-sucedida da autenticação sem senha é comunicar eficazmente a mudança de segurança aos funcionários. “Os funcionários estão superando décadas de memória muscular de senhas e lidando com a ansiedade legítima dos usuários sobre ‘e se eu perder meu dispositivo?’ é crítico”, disse Rao. “Aprendemos rapidamente que tínhamos que vender o ‘porquê’ aos nossos funcionários.”
As empresas precisam enquadrar a autenticação sem senha não como outro mandato de segurança, mas como um benefício direto para os funcionários por meio de menos frustração, logins mais rápidos e eliminação de redefinições de senha, disse Rao. Antes de fazer a mudança, a R Techniques realizou pequenas sessões de treinamento interativas para deixar as pessoas confortáveis com ferramentas de acesso, como identificação de impressão digital em seus telefones.
“Não consigo enfatizar o suficiente a importância das organizações que oferecem educação aos usuários”, Rao. “É uma diferença significativa entre uma implantação bem-sucedida e um investimento em prateleiras.”
A estratégia sem senha da R Techniques não está vinculada a um único fornecedor, mas construída em padrões abertos FIDO2 e WebAuthn, “nos dando flexibilidade para escolher a ferramenta certa para cada perfil de risco”, disse Rao. “Usuários privilegiados, como administradores, desenvolvedores e executivos, usam chaves de segurança de {hardware} FIDO2, enquanto a força de trabalho mais ampla depende de chaves de acesso integradas à biometria de dispositivos, como Home windows Whats up e Face ID.”
A empresa ainda está avaliando os resultados da transição para a autenticação sem senha e trabalhando para garantir que funcione melhor para todos.
“Vimos a experiência de nossos funcionários melhorar drasticamente, com logins mais rápidos e uma redução significativa nos tickets de suporte técnico relacionados a senhas”, disse Rao. “Mais importante ainda, a autenticação sem senha se tornou a base de nossa arquitetura de confiança zero, proporcionando-nos uma camada de identidade mais forte e de alta segurança que permite acesso seguro, independentemente da localização do usuário ou do dispositivo.”
