Como começar a implementar a autenticação sem senha hoje

Não é difícil entender porque a autenticação sem senha continua ganhando força. As senhas são uma grande vulnerabilidade de segurança e uma das principais causas de violações de dados.

De acordo com o relatório “2021 Data Breach Investigations Report” da Verizon, 89% das violações de aplicativos da Web envolviam abuso de credenciais.

Passwordless, a eliminação completa de senhas, está se consolidando e hoje já existem métodos de autenticação que as empresas podem implantar de forma a reduzir a dependência de senhas arriscadas e, assim, reduzir o uso de credenciais como vetor de ataque.

Opções de autenticação sem senha já disponíveis no mercado

As empresas podem considerar os seguintes métodos de autenticação sem senha disponíveis:

Baseado em e-mail

Os usuários recebem uma senha temporária de uso único por e-mail para fazer login em sua conta. Uma URL com o código ou token incorporado pode ser incluída para acelerar o processo e torná-lo mais conveniente para os usuários.

Baseado em chave física de segurança

O uso de chave física de segurança depende de algo que os usuários possuem em vez do que eles sabem para autenticação. Usando criptografia de chave pública, uma chave física de segurança serve como fator de autenticação.

Baseado em biometria

A autenticação biométrica depende das características físicas ou comportamentais dos usuários para verificar a identidade. Dispositivos com câmeras avançadas, microfones de alta qualidade ou scanners de impressão digital determinam que os usuários são quem eles dizem ser.

Uma combinação de métodos

Use chave de segurança e biometria, por exemplo, para habilitar uma abordagem de autenticação em camadas. As varreduras biométricas autenticam os usuários em um dispositivo e, em seguida, a geração de token fornece autenticação adicional.

Ao criar uma estratégia sem senha, lembre-se de adotar práticas recomendadas para o sucesso do seu projeto

1. Revise os processos de autenticação atuais

Faça um inventário de como sua organização, colaboradores, contratados, parceiros, autentica os usuários hoje. Entenda os métodos de autenticação herdados antes de começar a determinar o que é substituível pela autenticação sem senha.

2. Implemente um programa beta

Implante métodos de autenticação sem senha em pequenos grupos de teste. Os participantes devem representar uma comunidade diversificada em funções de trabalho, demografia, idade e funções de negócios.

3. Avalie o feedback do programa beta

Após o período de teste, reúna as opiniões dos participantes envolvidos para determinar se a estratégia de autenticação sem senha foi eficaz e eficiente ou precisa ser atualizada.

4. Aumente a conscientização sobre privacidade

Com o foco regulatório e do consumidor na privacidade, é importante reconhecer o aumento da quantidade de dados de colaboradores, contratados e parceiros armazenados e acessados.

A biometria, incluindo impressões digitais, varreduras faciais e de retina, bem como sua extensão para dispositivos pessoais, aumenta repentinamente a privacidade e a pegada de segurança de uma empresa.

Isso significa aumentar a conscientização do usuário, realizar avaliações regulares de risco e garantir que a conformidade seja fundamental.

Considere o controle de custos

Como em qualquer projeto, manter-se dentro de um orçamento direcionado é fundamental. Particularmente no caso de acessos sem senha, lidar com aplicativos legados e suas nuances pode resultar em aumento de custo.

Além disso, tenha em mente a adoção de novas tecnologias, como drones, robôs e sistemas metaversos, onde o acesso sem senha precisa funcionar no futuro. Projete e faça uma estimativa para esses casos de uso daqui para frente.

O Passwordless oferece às empresas uma maneira confiável e menos arriscada de autenticar usuários em comparação com o uso de senha. Tornar-se um early adopter ajudará as organizações a se tornarem mais seguras se os fatores acima forem considerados.

Roubo de credenciais: o que é e como se manter protegido?

As credenciais são amplamente utilizadas como um controle de segurança para proteger a infraestrutura de rede e os ativos de informação de uma organização. Dessa forma, o roubo de credenciais costuma fazer parte do estágio inicial de um ataque cibernético.

Depois que os cibercriminosos obtêm credenciais válidas, eles geralmente podem operar sem serem detectados em uma rede e mergulhar mais fundo para descobrir dados mais sensíveis ou confidenciais mantidos pela organização.

Mas o que, então, você pode fazer para proteger os dados da sua empresa? Abaixo, daremos uma olhada em como funciona o roubo de credenciais e quais medidas você pode tomar para evitá-lo! Acompanhe:

Como funciona o roubo de credenciais

O roubo de credenciais é uma das principais formas de os hackers executarem ataques de ransomware. Depois que os invasores obtêm as credenciais válidas, eles procuram obter acesso às redes e sistemas da empresa, incluindo acesso ao Active Directory.

Assim que obtêm êxito, os agentes de ameaças podem usar o AD para explorar contas de usuários com privilégios e mapear a rede da organização. O acesso a contas de administrador com privilégios pode permitir que os invasores evitem a detecção e se movam lateralmente pela rede para descobrir mais ativos de informações de alto valor e exfiltrar enquanto infectam mais máquinas com o ransomware.

O movimento lateral é uma técnica usada pelos cibercriminosos para evitar a detecção e prolongar o ataque. O AD também possui um recurso de política de grupo que ajuda os administradores a gerenciar os dispositivos associados ao domínio e os usuários na rede.

Os invasores, então, podem explorar a política de grupo para implantar ransomware nos dispositivos conectados do AD da organização e criptografar sistemas associados ao domínio.

Existem várias ferramentas e técnicas que os cibercriminosos usam para tentar roubar detalhes de login e obter acesso não autorizado a contas ou sistemas, como:

  • Força bruta: uma técnica de tentativa e erro que usa software automatizado para identificar credenciais de login válidas. Este software tentará adivinhar diferentes combinações de nomes de usuário e senhas em questão de segundos até que consiga “forçar” com sucesso o seu caminho para a conta do usuário;
  • Pulverização de senha: ao contrário dos ataques de força bruta que se concentram em uma única conta, a difusão de senhas concentra-se no volume de contas direcionadas. Os cibercriminosos pegam as senhas comumente usadas e tentam acessar cada conta dentro da organização. Os invasores evitam obter bloqueios de conta com essa abordagem, pois primeiro usam uma senha comum em muitas contas antes de tentar usar uma segunda senha;
  • Phishing: esse ataque de engenharia social é comumente baseado em e-mail, por meio do qual os criminosos cibernéticos tentam enganar os usuários para que forneçam diretamente suas credenciais. Os cibercriminosos podem se passar por outro colega ou fornecedor ou serviço terceirizado para fazer com que os usuários cliquem em um link malicioso;
  • Interceptando o tráfego da internet: como uma técnica mais tecnológica para roubar credenciais, os invasores podem monitorar dados ou pacotes da internet por meio de redes wi-fi;
  • Keylogger: os ataques de keylogger geralmente são realizados por meio de malware instalado furtivamente na máquina do usuário. Esse software malicioso simplesmente monitora todas as teclas físicas do usuário. Isso significa que o cibercriminoso só precisa esperar até que o usuário digite suas credenciais.

Como se proteger contra o roubo de credenciais

É importante identificar os ataques de roubo de credenciais com antecedência para proteger os sistemas e dados da organização.

Proteções avançadas de e-mail e navegador podem ajudar muito na prevenção do roubo de credenciais e na minimização do valor de credenciais roubadas para os invasores.

Além das precauções de e-mail e navegador, os administradores de TI também devem verificar os controles de rede existentes. O acesso Wi-Fi local deve ser protegido e cada usuário deve acessar a internet com credenciais individuais em vez de uma senha compartilhada comunitariamente.

Os mesmos padrões de senha se aplicam ao armazenamento de arquivos no local e outros recursos de LAN, e uma política de senhas fortes deve ser incentivada e compartilhada em toda a organização.

No entanto, a melhor forma de se prevenir contra o roubo de credenciais é utilizando o Single Sign-On (SSO) e a Autenticação Multifator (MFA) em conjunto.

O SSO significa que os usuários precisam controlar apenas um conjunto de credenciais que lhes concede acesso a e-mail e aplicativos da web. Combinado com a educação sobre os perigos do compartilhamento de senha, o SSO ajuda a reduzir a probabilidade de os usuários finais comprometerem a segurança da senha por uma questão de conveniência.

A autenticação multifator (MFA), por sua vez, ajuda a tornar inúteis as credenciais roubadas. Como a MFA exige que o usuário insira uma segunda forma de identificação para acesso, uma senha roubada por si só não é suficiente para violar uma conta. Habilitar o MFA em todas as instâncias possíveis pode ser a ação mais eficaz que os departamentos de TI podem tomar para combater o roubo de credenciais.

Embora a forma mais familiar de MFA seja um código de uso único enviado por mensagem de texto para o seu telefone, a versão mais segura é uma chave de segurança física que atende a esse propósito. Com uma chave de segurança, ninguém pode entrar nas contas onde você a configurou, a menos que tenha sua senha e acesso físico à chave.

Combinar as medidas acima em uma solução de identidade simplificada pode economizar uma quantidade significativa de tempo e trabalho manual para sua equipe de TI.

Para saber mais sobre como garantir sua segurança contra o roubo de credenciais, siga nosso blog e veja todas as nossas dicas!

Autenticação multifator: o que são as chaves de segurança?

 

Estamos vivendo em uma era digital em que estamos continuamente cercados por várias ameaças cibernéticas que podem ter um impacto grave nas operações de negócios. Que falemos sobre o número crescente de roubos de identidade ou informações confidenciais comprometidas, as organizações devem rapidamente dar o seu melhor para mitigar o risco.

No entanto, métodos rígidos de autenticação, como a autenticação multifator (MFA), provaram ser úteis para minimizar os riscos. Essas práticas de segurança adicionam uma camada de segurança extra diferente de senhas e garantem que a pessoa certa tenha acesso às informações certas.

Mas quando se trata de segurança robusta para uma experiência de autenticação e autorização contínua, a autenticação multifator ganha um novo nível: o do hardware. As chaves de segurança físicas são consideradas uma das melhores maneiras de provar que um indivíduo é realmente quem ele diz que é.

Neste artigo, explicaremos todos os aspectos associados a uma chave de segurança física para que você entenda quais são suas vantagens. Acompanhe!

O que é uma chave de segurança?

Uma chave de segurança é uma unidade USB física que se conecta aos seus dispositivos, incluindo computadores e notebooks, para provar a identidade e acessar recursos específicos em uma rede.

Esses tipos de chaves podem ser conectados a dispositivos via USB, conexão Bluetooth ou uma porta USB-C e são muito simples de usar sempre que você precisar passar por um processo adicional de verificação de identidade.

Assim como a verificação de e-mail, as chaves de segurança podem ser usadas para autenticar um usuário sempre que ele desejar acessar recursos específicos ou precisar fazer login em suas contas em um site ou aplicativo.

Várias organizações incentivam seus funcionários a usar uma chave de segurança sempre que estiverem trabalhando com dados confidenciais ou registrando de um local remoto. Nos EUA, todas as agências federais adotaram o uso da chave de segurança como método de autenticação para seus funcionários.

Como funcionam as chaves de segurança?

As chaves de segurança são apenas outra maneira de verificar, com um servidor que você está tentando acessar, quem você diz ser. As chaves suportam um padrão universal de código aberto chamado FIDO U2F, que foi desenvolvido pelo Google e Yubico para tokens de autenticação física.

Pense em uma chave de segurança como a porta do quarto de um hotel. Você faz o check-in no balcão e recebe a chave do quarto.

Para que você tenha acesso de fato ao quarto, as chaves de hotel (geralmente no formato de um cartão) se conectam ao sistema do hotel quando inseridas no slot da porta. O sistema, então, reconhece que aquela chave é referente àquela porta e libera a entrada.

Configurar e usar uma chave de segurança também é bastante fácil. Depois de conectar os dispositivos e contas online em que deseja usar a chave de segurança, tudo o que você precisa fazer nesse ponto é conectar a chave quando quiser acessar o dispositivo ou site e tocar no botão do sensor, assegurando que você tem permissão para acessar os dados e aplicativos em questão.

Vantagens de usar uma chave de segurança

Além de oferecer autenticação multifator para gerenciamento de acesso e login seguro e contínuo, as chaves de segurança oferecem uma série de vantagens. Aqui está uma lista:

1. Fácil acesso

Uma das vantagens significativas de usar uma chave de segurança física é a facilidade de acesso. Como a chave de segurança é compacta e pode ser carregada facilmente, elas oferecem uma experiência de autenticação sem atrito.

Os usuários podem carregá-los em suas bolsas ou carteira e podem até mesmo prendê-los aos seus chaveiros. É um dispositivo plug-and-play pronto para usar.

2. À prova de phishing

Essas chaves precisam ser registradas em um site, o que as ajuda a reduzir as chances de phishing e a eliminar ainda mais qualquer possibilidade de violação de dados.

A chave de segurança aproveita o protocolo U2F (Universal Second Factor) da FIDO, que ajuda a evitar que os usuários sejam acidentalmente vítimas de ataques de phishing. Ele apenas autentica e autoriza usuários no domínio correto, mesmo que eles registrem a chave por engano no site errado.

Como o usuário real carrega o dispositivo, as chances de uso indevido de qualquer token de segurança ou mesmo de uma senha de uso único são insignificantes. Portanto, é muito seguro confiar nas chaves de segurança.

3. Múltiplas utilidades

Outra vantagem significativa de uma chave de segurança física é que ela pode ser usada para Single Sign-On (SSO), Multi-Factor Authentication (MFA) ou suportar padrões de autenticação FIDO, incluindo Universal Second Factor (U2F).

Muitas organizações utilizam chaves de segurança e, eventualmente, incentivam seus funcionários a usá-las, pois precisam lidar com informações confidenciais relacionadas a negócios e clientes. Essas informações, se vazadas, podem levar a consequências financeiras e de reputação específicas para a organização.

As chaves de segurança são uma maneira fácil e relativamente barata de manter seguras suas informações online importantes. Embora possam ser um exagero para a pessoa média, o nível de segurança que oferecem os torna valiosos para qualquer organização que lida com informações sensíveis que precisam ser protegidas.

Para saber mais sobre as chaves de segurança e seus benefícios, continue acompanhando nosso blog e veja todas as nossas novidades!

Sobre a OST

Somos especialistas em soluções tecnológicas, focados em garantir a continuidade dos negócios de nossos clientes, rumo à transformação digital. Auxiliamos organizações públicas e privadas no desenvolvimento de uma infraestrutura de TI eficiente, econômica, segura e inovadora.

Nosso propósito é transformar ideias em resultados, ajudar empresas e principalmente conectar pessoas. Somos transparentes em todas as nossas relações e fazemos da urgência do cliente a nossa urgência.

Há mais de 26 anos no mercado, com o apoio dos maiores players em tecnologia, a OST vem se consolidando, a cada dia, como uma das principais integradoras do Brasil.

Como se proteger contra os sofisticados ataques de phishing

A segurança da informação é uma parte integrante de qualquer sistema de TI dentro de uma empresa nos dias de hoje. Existem quatro premissas para qualquer sistema ser considerado seguro: (1) confidencialidade, (2) integridade, (3) disponibilidade e (4) autenticação — e, atualmente, tem sido esta última que tem tirado o sono dos gestores de TI.

A autenticação envolve garantir que quem tenta acessar um sistema é realmente quem diz que é. Isso é fundamental pois o roubo de identidade é uma das formas mais eficazes de os hackers performar seus ataques. Uma vez dentro do sistema, com credenciais de quem tem privilégios na rede, eles podem se mover lateralmente e instalar todo tipo de ameaça.

O método mais básico de autenticação não é nada novo e existe desde os primórdios da web: um usuário recebe um login e cria uma senha única que só pode ser utilizada em conjunto com aquele login. Mais recentemente, uma melhoria nesse processo foi criada, a autenticação em 2 fatores (2FA), quando além da sua senha você deve digitar um outro código, recebido em seu smartphone ou e-mail.

No entanto, esses métodos ainda estão susceptíveis aos ataques de phishing, um tipo de ameaça que vem crescendo em número e danos nos últimos anos.

Ataques de phishing: uma das principais ameaças da atualidade

O phishing geralmente acontece através do e-mail: um hacker envia uma mensagem aparentemente legítima para fazer com que o usuário clique em um link malicioso. Em geral, o link leva o usuário a uma página de login falsa que é semelhante o suficiente para que ele confie em colocar suas credenciais — uma vez inseridas na página falsa, as credenciais são roubadas, resultando no comprometimento da conta.

O phishing está liderando a corrida entre os riscos de segurança mais perigosos nos dias de hoje, visando um grande número de usuários — desde pessoas comuns acessando a internet até funcionários de alguma empresa multinacional. Neste último caso, o ataque tem tido muito sucesso justamente por mirar em pessoas que são o elo mais fraco de uma cadeia.

Segundo o relatório de 2021 da Verizon, Data Breach Investigations Report, 43% dos ataques no último ano envolveram algum tipo de phishing. Em média, esses ataques são muito bem elaborados e têm uma alta taxa de sucesso. Isso faz do phishing a segunda causa mais cara de violações de dados — uma violação causada por phishing custa às empresas uma média de US $ 4,65 milhões, de acordo com o estudo Cost of a Data Breach da IBM.

A correção desses ataques resulta em um custo adicional para os negócios. Várias empresas percebem isso e seguem métodos diferentes para impedir os ataques de phishing. Muitas vezes, isso envolve algumas técnicas tradicionais, tais como:

  • Senhas fortes: as pessoas não se preocupam muito em escolher senhas fortes que seriam difíceis de lembrar. Em vez disso, uma senha fraca é preferível para passar facilmente a página de login. No entanto, uma senha fácil de lembrar também é uma senha fácil de ser descoberta pelos hackers;
  • Autenticação de dois fatores: para atender a senhas fracas, muitos locais oferecem autenticação de dois fatores para limitar o comprometimento da conta. Após as credenciais da senha, os usuários recebem um código por e-mail ou mensagem de texto para concluir o processo de autenticação. Essa é uma técnica amplamente usada, comumente vista em todos os lugares, mas ainda não é totalmente segura;
  • Treinamento e conscientização: enquanto algumas organizações optam por controles técnicos, outras também consideram o treinamento adequado de seus funcionários e os informa sobre os últimos ataques de phishing e como não se tornarem vítimas deles. Isso oferece uma ótima visão para as pessoas comuns sobre como identificar ameaças e se manter seguras.

Mais uma vez, nem o uso conjunto de todos esses três métodos é o suficiente para barrar os mais sofisticados ataques de phishing. As estatísticas mostram que alguns outros métodos devem ser escolhidos para lidar com as crescentes preocupações com phishing. Entra o uso das chaves físicas de segurança.

Chaves físicas de segurança contra o phishing

A criptografia de chave pública traz uma nova dimensão sobre o que poderia ser alcançado com sua aplicação. O advento do blockchain abriu novas maneiras de resolver os problemas de segurança. A partir da autenticação simples de dois fatores, um novo esquema de segundo fator universal foi recentemente introduzido, com o uso de chaves físicas de segurança.

A chave é um dispositivo simples como um pendrive, que pode ser conectado a um notebook pela porta USB tipo A, C e Lightning (iPhone). Ele vem em várias formas e marcas. Os modelos mais recentes têm comunicação NFC e Biometria para oferecer suporte a serviços de autenticação em smartphones também.

O dispositivo gera um par de chaves conhecido como chave pública e chave privada, aquela que você obtém na criptografia assimétrica. A chave pública é armazenada com o servidor e usada para verificar a solicitação de autenticação do lado do cliente. Isso adiciona uma camada extra — e muito mais eficaz — de proteção, sendo considerado o método de autenticação mais seguro que existe.

O uso de chaves físicas de segurança alivia os usuários de preocupações com senhas fortes, pois as chaves são geradas automaticamente e são de natureza aleatória e não podem ser hackeadas facilmente ou quebradas usando métodos de força bruta. Certamente, quem quiser manter seus sistemas protegidos contra ataques de phishing, precisa considerar o uso desse método de autenticação.

E você, como está se protegendo hoje? Comente abaixo e compartilhe suas ideias e opiniões conosco!

Sobre a OST

Somos especialistas em soluções tecnológicas, focados em garantir a continuidade dos negócios de nossos clientes, rumo à transformação digital. Auxiliamos organizações públicas e privadas no desenvolvimento de uma infraestrutura de TI eficiente, econômica, segura e inovadora.

Nosso propósito é transformar ideias em resultados, ajudar empresas e principalmente conectar pessoas. Somos transparentes em todas as nossas relações e fazemos da urgência do cliente a nossa urgência.

Há mais de 26 anos no mercado, com o apoio dos maiores players em tecnologia, a OST vem se consolidando, a cada dia, como uma das principais integradoras do Brasil.