O guia do comprador para autenticação sem senha
Publicados: 2020-09-09Provavelmente já faz muito tempo desde que você avaliou suas soluções de autenticação de usuário.
Afinal, não é todo dia que as empresas estão no mercado para uma nova solução de autenticação de usuários. Alguns nunca usaram nada além de uma senha simples para autenticar seus usuários. Outros podem ter implantado uma solução tradicional de autenticação multifator para abordar questões de segurança específicas relacionadas à autenticação de conexões de acesso remoto ou em resposta a um requisito regulatório de autenticação mais forte. Este pequeno guia fornece uma revisão atual das abordagens modernas de autenticação de usuário.
O Relatório de Investigação de Violação de Dados (DBIR) da Verizon publicado em 2017 foi um momento decisivo para as percepções sobre a autenticação do usuário. O relatório ganhou as manchetes em todo o mundo de TI quando revelou que 81% das violações de dados foram resultado de senhas comprometidas.
Foi quando muitas empresas perceberam que as senhas não estavam resolvendo seus problemas de segurança e, em vez disso, causando muitos deles, e quando começaram a procurar opções alternativas de autenticação. Este é o momento em que a autenticação sem senha deixou de ser uma alternativa de nicho perseguida por empresas com visão de futuro para algo sobre o qual todos estavam falando.
O que é autenticação sem senha?
A autenticação sem senha define uma classe de soluções de autenticação que verificam a identidade de um usuário sem o uso de uma senha. A prova de identidade é baseada em outros fatores que identificam exclusivamente o usuário, como a posse de algo exclusivamente associado ao usuário (por exemplo, um gerador de senha de uso único, um dispositivo móvel registrado ou um token de hardware) ou a assinatura biométrica do usuário (por exemplo, impressão digital, impressão facial, digitalização de retina, etc.). A autenticação com base em algo que o usuário sabe (ou seja, autenticação baseada em conhecimento) também é possível, desde que não seja uma senha.
4 tipos de métodos de autenticação sem senha
Aqui estão alguns métodos de autenticação sem senha comumente usados que as pessoas costumam escolher:
Códigos de uso único
Código único enviado para um dispositivo móvel registrado ou endereço de e-mail. Isso normalmente é implantado por empresas para autenticar seus clientes (B2C). É menos comumente usado para autenticação corporativa, ou seja, para autenticar funcionários.
Biometria
Esse método de autenticação sem senha tornou-se a norma para autenticar usuários em seus dispositivos móveis, com implementações populares da tecnologia no Apple Face ID e autenticação de impressão digital disponível em todos os dispositivos móveis mais baratos. A biometria é usada principalmente para autenticar o usuário no próprio dispositivo e, com menos frequência, nos recursos acessados a partir do dispositivo.
Tokens de segurança de hardware dedicados
Tokens de segurança de hardware dedicados, geralmente armazenando uma credencial de infraestrutura de chave pública (PKI). Nos últimos anos, dispositivos compatíveis com FIDO, como YubiKeys, estão crescendo em popularidade como uma alternativa de autenticação de usuário de alta garantia para senhas. Esses dispositivos oferecem um bom nível de segurança, pois são difíceis de falsificar e exigem posse física, mas também são bastante caros e complicados para os usuários carregarem e usarem.
Credenciais de autenticação anexadas a um dispositivo host
Essa credencial (ou seja, um certificado de autenticação de cliente PKI fixado em um computador pessoal) é usada principalmente para autenticar estações de trabalho de funcionários em redes e recursos de negócios. Aqui, novamente, as soluções compatíveis com FIDO estão ganhando popularidade, com o exemplo mais notável sendo o Microsoft Windows Hello for Business. O Windows Hello está disponível em versões mais recentes do Windows e combina uma credencial compatível com FIDO com um PIN de usuário ou impressão biométrica para desbloquear o acesso à credencial.
Autenticação multifator (MFA) versus autenticação sem senha
A combinação de várias formas de autenticação para prova de identidade resulta em autenticação multifator (MFA). Historicamente, a MFA era usada como forma de melhorar a segurança da autenticação baseada em senha. Usar uma senha (algo que você conhece) junto com um chaveiro dedicado ou dispositivo móvel registrado (algo que você possui) forneceria vários fatores de autenticação que são mais difíceis de phishing, crack ou hack e, portanto, forneceria um nível mais alto de garantia.
Hoje, é possível usar vários fatores de autenticação sem senhas como um dos fatores, resultando em MFA sem senha. Os fatores de autenticação mais usados para MFA sem senha são o dispositivo móvel registrado do usuário junto com um PIN de usuário ou impressão digital fornecida por meio do sensor de impressão digital integrado do dispositivo.
Considerações ao avaliar uma solução de autenticação sem senha
Então, o que uma empresa deve observar ao procurar a solução de autenticação certa? Há muitas considerações ao comprar uma nova solução de autenticação de usuário, mas as três mais importantes são:
A solução de autenticação oferece suporte a todos os casos de uso de autenticação de usuários?
A consideração mais fundamental é se uma solução de autenticação oferece suporte a todos os casos de uso de autenticação de amplitude encontrados pelos usuários ao longo de seu dia de trabalho. Quando casos de uso específicos não são suportados, uma das duas opções está disponível: manter a solução de autenticação existente – normalmente nome de usuário e senha simples – ou trazer uma segunda solução de autenticação.
A reversão para nomes de usuário e senhas anula o objetivo de investir em uma solução de autenticação melhor e mais segura, porque significa que senhas vulneráveis ainda podem ser exploradas por invasores, deixando os negócios expostos. É como construir um muro fortificado ao redor de sua casa e deixar no lugar uma porta dos fundos com um cadeado.
Adquirir uma segunda solução de autenticação que possa lidar com os casos de uso não suportados significa implantar outra solução e, mais importante, exigir que os usuários carreguem outra credencial/autenticador. Essa é uma proposta cara que também oferece uma experiência que provavelmente frustrará os usuários.
O suporte a toda a amplitude de casos de uso de autenticação de usuário pode adicionar alguns cenários para uma empresa típica. Os casos de uso corporativos comuns incluem:
- O logon da estação de trabalho, incluindo hosts Windows e Mac, e em algumas empresas o Linux também é uma consideração importante. Geralmente, esse é o caso de uso mais desafiador para muitas soluções de autenticação, pois requer integrações delicadas com sistemas operacionais e soluções de gerenciamento de domínio de rede.
- A VPN de acesso remoto tem sido uma tecnologia básica que permite que funcionários móveis e remotos permaneçam conectados ao seu trabalho. Existem várias tecnologias em uso e uma infinidade de fornecedores oferecendo soluções. Felizmente, ao longo dos anos, um conjunto de padrões surgiu para permitir a integração direta com sistemas de autenticação.
- O acesso a aplicativos em nuvem tornou-se popular mesmo para as empresas mais tradicionais. Embora alguns padrões estejam em vigor para facilitar a interoperabilidade entre os sistemas de autenticação corporativa e os serviços em nuvem, nem todos estão totalmente preparados. Padrões concorrentes e revisões frequentes dos padrões existentes significam que o suporte ao acesso a serviços em nuvem tem sido um alvo em movimento.
- A autenticação offline tem sido o calcanhar de Aquiles de muitos sistemas de autenticação em geral e a autenticação multifator (MFA) em particular. Apresenta um desafio difícil porque a maioria das soluções de autenticação foi projetada para um mundo conectado. Portanto, quando a conexão de rede está inativa ou indisponível e o servidor de autenticação não está acessível, são necessárias soluções alternativas elaboradas para garantir que os usuários possam continuar a autenticar em seus computadores e recursos hospedados localmente.
- O autenticador perdido cria uma enorme dor de cabeça, principalmente quando se trata de um autenticador de hardware. O envio físico de um token de substituição para um funcionário remoto é caro e demorado. Portanto, para evitar tempo de inatividade prolongado, soluções de recuperação baseadas em software foram desenvolvidas para algumas das soluções de MFA baseadas em hardware.
De um modo geral, uma solução de autenticação corporativa moderna deve ser um player versátil que possa lidar com uma ampla variedade de casos de uso de autenticação. A escolha de uma solução pontual que atenda bem a casos de uso específicos provavelmente resultará na necessidade de implantar várias soluções de autenticação, o que é caro e difícil para os usuários.
A solução de autenticação funcionará com o que você já possui?
A realidade para a maioria das empresas é que elas adquiriram uma combinação variada de sistemas e aplicativos ao longo de anos de investimento em TI. Esses sistemas são uma realidade que precisa ser reconhecida e qualquer nova solução de autenticação precisa ser capaz de trabalhar com tudo o que já existe. Uma abordagem de rasgar e substituir é simplesmente muito dolorosa e cara.
Portanto, deve-se esperar que soluções modernas de autenticação sejam projetadas para oferecer suporte a sistemas e aplicativos legados e integrar-se facilmente aos investimentos de TI existentes. O suporte a diretórios de usuários existentes (por exemplo, Active Directory), o trabalho com sistemas legados, o trabalho em conjunto com as soluções de autenticação existentes etc. devem ser incorporados à solução e não algo que exija projetos caros de personalização e integração.
Trabalhar com soluções de autenticação existentes, como tokens USB, tokens OTP, autenticadores FIDO, autenticadores móveis e muito mais, também deve ser necessário. Muitas empresas investiram em soluções de autenticação fortes, o que significa que quase não há oportunidades greenfield onde nada mais é implantado. Assim, trabalhar em harmonia com as soluções de autenticação existentes, simplificar as operações de um ambiente de autenticação heterogêneo e fornecer um meio de aposentar gradualmente soluções mais antigas e migrar para soluções mais modernas tornou-se uma consideração importante por si só.
A solução atende aos requisitos de auditores e reguladores?
Atualmente, a maioria das empresas opera em setores regulamentados e está sujeita a exigências rígidas de proteção de dados e autenticação de usuários. A conformidade com regulamentos e padrões do setor, como PCI DSS, DFARS, HIPAA, SOX/GLBA, PSD2, GDPR, etc. é, portanto, uma consideração importante e geralmente o principal fator para investir em uma nova solução de autenticação de usuário.
Benefícios da autenticação sem senha
A autenticação sem senha é um daqueles raros casos na vida em que a nova solução é claramente superior em todos os aspectos. Escolher não requer fazer quaisquer trocas ou pesar prós e contras. A autenticação sem senha oferece melhor segurança, melhor experiência do usuário e é mais barata de possuir e operar quando comparada às soluções de autenticação baseadas em senha.
Melhora a experiência do usuário
A autenticação sem senha oferece melhor experiência do usuário porque os usuários não precisam recuperar e digitar senhas. Isso significa logons mais rápidos e menos tentativas malsucedidas. E as senhas nunca são esquecidas ou precisam ser redefinidas, o que significa menos tempo de inatividade devido a senhas perdidas ou esquecidas e menos agravamento.
Melhora a segurança geral
A substituição de senhas vulneráveis por uma solução de autenticação sem senha bem projetada realmente melhora a segurança porque a senha sem senha é resistente a phishing e oferece melhor proteção contra outras formas de ataques de acesso a credenciais, incluindo man-in-the-middle, keylogging, preenchimento de credenciais, pulverização de senha e outros .
É mais barato a longo prazo
A autenticação sem senha é mais barata de possuir e operar quando comparada às senhas. As senhas exigem gerenciamento caro porque exigem suporte a sistemas de gerenciamento de senha para permitir que os usuários realizem atualizações periódicas de senha e a redefinição de senha ocasional.
As senhas também criam uma carga significativa no suporte técnico quando os usuários esquecem suas senhas ou perdem seu autenticador e ligam para o suporte técnico para obter assistência na recuperação. Outras economias de custo podem ser obtidas ao encerrar os programas de prevenção de phishing implementados para educar os usuários e protegê-los contra phishing. A autenticação sem senha bem projetada é à prova de phishing.
Desafios com autenticação sem senha
O desafio número um para as empresas que decidem implantar a autenticação sem senha geralmente são seus sistemas e aplicativos legados que não foram projetados para autenticação sem senha. Portanto, embora seja fácil aceitar a visão de um local de trabalho sem senha, chegar lá pode ser assustador ao lidar com um ambiente de TI heterogêneo que combina sistemas novos e antigos.
Uma abordagem é implantar a autenticação sem senha apenas para sistemas e aplicativos que a suportam. Isso geralmente se traduz na implantação de autenticação sem senha para aplicativos em nuvem e, às vezes, também em sistemas operacionais mais recentes (ou seja, versões mais recentes do Windows 10). Mas ficar sem senha é realmente um esforço de tudo ou nada: ou você se livra das senhas ou não.
Portanto, para implantar com sucesso a autenticação sem senha para os usuários, geralmente não é suficiente decidir que sem senha é uma opção melhor, mais barata e mais segura. É importante escolher a tecnologia que o ajudará a implantar sem senha em um ambiente de TI existente e heterogêneo e abordar todos os seus casos de uso de autenticação.
Cenário de soluções de autenticação sem senha
Quase todos os fornecedores de soluções de autenticação no mercado afirmam oferecer autenticação sem senha. Os fornecedores de autenticação estabelecidos adaptaram sua oferta de MFA para permitir algumas formas de autenticação sem senha para alguns casos de uso. Os players de autenticação mais recentes estão apostando no sem senha, visando clientes com infraestrutura moderna e aplicativos que funcionarão bem sem senha – sistemas e aplicativos legados são deixados para trás.
Mas a implantação universal da autenticação sem senha ainda não é possível para a maioria das empresas, porque ainda existem muitos sistemas e aplicativos que não foram projetados para funcionar sem senha. Deixar as senhas no lugar para alguns sistemas quase anula o propósito, porque para se beneficiar do sem senha você realmente precisa se livrar de todas as senhas.
A migração bem-sucedida para a solução de autenticação sem senha requer uma solução que possa funcionar em todos os sistemas e aplicativos, fornecendo autenticação sem senha sempre que possível e criando uma experiência sem senha onde não é possível. O benefício dessa abordagem é que, de uma perspectiva de UX, os usuários não precisam criar, recuperar ou inserir uma senha.
Do ponto de vista da segurança, as senhas são completamente removidas ou simplesmente não são conhecidas pelos usuários, o que as torna à prova de phishing. Além disso, ao implementar uma experiência sem senha, as senhas são gerenciadas por máquinas, o que significa que elas se beneficiam de alta complexidade e rotações frequentes, o que as torna mais resistentes a muitas formas de ataques a senhas.