Sua solução de autenticação sem senha é realmente sem senha?
10 de maio de 2022Em um mundo onde muitos usuários diferentes, dispositivos móveis e processos automatizados precisam acessar recursos de rede, as senhas não são mais um método eficaz para autenticar cada identidade em uma organização.
Por Tim Callan
Ataques sofisticados como phishing, keyloggers e cracking de força bruta são altamente capazes de roubar senhas.
No geral, isso cria um cenário muito real em que as senhas se tornaram uma forma desatualizada de autenticação com segurança fraca, experiência ruim do usuário e carga adicional de suporte técnico, tudo em um.
Não surpreendentemente, as organizações estão procurando ativamente mudar sua abordagem de autenticação, mudando para sem senha.
A Microsoft recentemente ganhou as manchetes com seus planos de habilitar soluções de autenticação sem senha para usuários que fazem login em empresas como Microsoft 365, Microsoft Teams, Outlook, OneDrive e Microsoft Edge.
“Going passwordless” ou “Ir sem senha” tornou-se um termo moderno entre repórteres de segurança, analistas do setor e influenciadores. Mas o que realmente significa varia muito de acordo com quem está usando o termo. Autenticação multifator, senhas de uso único, logon único e biometria estão entre as tecnologias que fazem parte da conversa “sem senha” de hoje. Eles podem aumentar a segurança e/ou simplificar a experiência do usuário, mas não são soluções “sem senha”.
Considere a autenticação biométrica, como digitalização de impressões digitais ou reconhecimento facial. Essas tecnologias podem verificar se o dispositivo usado está no controle de seu usuário pretendido, o que as faz substituir um PIN (que controla o acesso a um dispositivo) e não uma senha (que controla o acesso a outra máquina em uma rede).
Um sistema de autenticação pode simplesmente mascarar senhas subjacentes sob biometria ou esquemas de autenticação baseados em dispositivos semelhantes. Essa abordagem não é realmente sem senha, mesmo que os usuários finais não atribuam, gerenciem ou insiram senhas conhecidas por eles. Uma senha ainda está viajando pela rede e controlando o acesso na máquina do outro lado.
Esta é uma distinção crítica. As abordagens de mascaramento de senha têm alguns dos mesmos benefícios que a verdadeira tecnologia sem senha. Eles oferecem uma melhor experiência ao usuário, pois os funcionários não precisam lembrar e gerenciar senhas ou digitá-las.
Além disso, reduzem os tíquetes de suporte técnico porque são mais fáceis de usar. No entanto, ainda existe um segredo compartilhado – neste caso, uma senha – que viaja por uma rede potencialmente hostil e desbloqueia acesso e privilégios no sistema do servidor. Isso deixa o segredo compartilhado sujeito a um possível roubo.
Outra abordagem pseudo-sem senha é trocar chaves públicas de alguma forma em um sistema de jardim murado implantado em ambas as extremidades.
Embora essa abordagem seja criptograficamente segura contra roubo, é difícil desenvolver, manter e instalar e é propensa a erros e bugs. Muitas vezes, o processo de criação de uma chave criptográfica nessa abordagem ainda começará com uma combinação de nome de usuário e senha. E, finalmente, essas chaves criptográficas vazias têm a desvantagem de não terem políticas de ciclo de vida, como expiração e revogação.
A falta desses recursos significa que essas chaves podem simplesmente permanecer para sempre, inclusive além de sua vida útil esperada ou mesmo depois que os avanços da computação as tornaram criptograficamente inseguras.
O papel da PKI nas verdadeiras soluções de autenticação sem senha
A verdadeira autenticação sem senha não usa uma senha ou segredo compartilhado simétrico em nenhum lugar do processo de autenticação.
O padrão ouro em autenticação e criptografia, a infraestrutura de chave pública (PKI) é uma tecnologia fundamental para autenticação de identidade sem senha e a única tecnologia que pode oferecer autenticação sem senha verdadeira em escala.
As políticas de identidade digital centradas na automação de PKI fornecem um modelo de autenticação fundamentalmente mais utilizável e mais seguro.
Os certificados digitais fazem todo o trabalho nos bastidores usando chaves privadas incorporadas em dispositivos de autenticação e PIN ou verificações biométricas para garantir que os dispositivos estejam nas mãos dos usuários corretos. Os usuários têm uma experiência melhor e mais compreensível, e uma série de ataques conhecidos de roubo de senhas não são mais uma ameaça. É melhor para o usuário e melhor para a TI.
Embora a PKI possa ser usada em vários cenários, ela é particularmente adequada para soluções de autenticação sem senha em ambientes corporativos centralizados.
Com a PKI, as empresas podem aproveitar os benefícios da autenticação sem senha e ainda manter o controle sobre sua infraestrutura.
A PKI também oferece opções de fallback em caso de emergências. Se um certificado precisar ser revogado, o administrador poderá fazê-lo a qualquer momento. Além disso, todos os certificados têm vida útil definida e expirarão após o término do período de tempo designado.
Quando você quiser substituir senhas e adotar uma solução de autenticação sem senha, desafie seus fornecedores. Você pode pensar que está fugindo das senhas em seu ambiente, mas ainda pode haver senhas subjacentes.
Para saber mais, ouça Root Causes, episódio 204
Fonte: Sectigo
Outros artigos de Tim Callan
Devemos continuar nos referindo ao EV-SSL como a “barra de endereços verde”?
141 Cybersecurity Predictions For 2020
Apple não aceitará certificados HTTPS de longa duração
AUTENTICAÇÃO
Autenticação forte faz parte da estratégia de segurança da informação de todas as empresas que utilizam meios eletrônicos. No Crypto ID temos muitos artigos e matérias sobre o tema para complementar seu conhecimento. Leia sobre Autenticação nesse link!
Google aponta que interesse por proteção de senha aumenta entre os brasileiros
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!