O conceito de "sem senha" promete facilitar a vida tanto dos usuários quanto dos departamentos de segurança. Ele oferece uma perspectiva tentadora de redução de custos administrativos, aumento da produtividade e redução do risco cibernético. Entretanto, apesar desses benefícios sedutores, sua implementação tanto para o setor business-to-consumer (B2C) quanto para o business-to-business (B2B) não tem sido tão forte quanto se esperava.
Entretanto, quando a maior empresa de software do mundo decide apoiar uma nova abordagem tecnológica, é necessário ter em conta. Há muito tempo, a Microsoft descreve as senhas como "inconvenientes, inseguras e caras". Em março de 2021, a empresa introduziu uma solução de autenticação sem senhas para clientes empresariais. E, em setembro, anunciou que iria estender o suporte a todos os usuários. Portanto, pode-se dizer que a era da autenticação sem senha finalmente chegou.
Quando as senhas não são mais adequadas para o propósito
As senhas existem há quase tanto tempo quanto os computadores e seu desaparecimento já foi previsto diversas vezes. No entanto, elas ainda estão em uso, protegendo tudo, desde aplicativos corporativos a online banking, e-mails e contas de e-commerce.
O problema é que agora temos muitas senhas para administrar e lembrar. Uma estimativa sugere que 57% dos trabalhadores americanos escreveram senhas corporativas em notas adesivas, enquanto uma pesquisa realizadas pela ESET em 2021 revelou que 49% dos usuários escrevem suas senhas para não esquecê-las e 38% usam o papel para isso. E o número de senhas está crescendo constantemente à medida que expandimos nossa pegada digital. Uma estimativa de outubro de 2020 afirmou que em média uma pessoa usa em torno de 100 senhas, quase 25% a mais do que antes do início da pandemia.
Veja mais: As senhas mais usadas em 2021 são também as mais insegurass
De uma perspectiva de segurança cibernética, o desafio com senhas está bem documentado: elas fornecem aos atacantes um alvo que é cada vez mais fácil de roubar, ataques de phishing ou força bruta. Uma vez que tenham as chaves em mãos, os atacantes podem se fazer passar por usuários legítimos, contornando defesas de segurança perimetrais e permanecendo escondidos dentro de redes corporativas por um longo tempo. Atualmente, o tempo necessário para identificar e conter um vazamento de dados é de 287 dias.
Os gerenciadores de senhas e métodos como o single sign-on oferecem uma forma de superação para esses desafios, armazenando e lembrando senhas complexas para cada conta a fim de que os usuários não precisem se preocupar com isso. No entanto, eles ainda não são universalmente populares entre os consumidores. O resultado? Os usuários reutilizam senhas em diversas contas que são fáceis de lembrar tanto para suas contas pessoais quanto corporativas, expondo-as a ataques de credential stuffing e a outras técnicas de força bruta.
Não se trata apenas de riscos de segurança. As senhas exigem muito tempo e dinheiro para que as equipes de TI possam gerenciá-las, e podem acrescentar atritos adicionais à viagem do cliente. As vulnerabilidades podem requerer reinícios em massa em grandes volumes de contas, o que pode interferir na experiência do usuário em ambientes B2B e B2C.
Como a remoção de senhas pode beneficiar sua empresa
Neste contexto, a autenticação sem senha oferece um grande salto. Usando um aplicativo de autenticação biométrica, como reconhecimento facial ou uma chave de segurança, ou um código único enviado via e-mail/mensagem de texto, as organizações podem, de uma só vez, eliminar as dores de cabeça de segurança e administração associadas às credenciais estáticas.
Ao adotar esta abordagem para operações B2B e B2C, as organizações podem:
Melhorar a experiência do usuário: tornando os logins mais fáceis e eliminando a necessidade dos usuários lembrarem-se de suas senhas. Isto poderia até mesmo impulsionar melhores vendas se menos carrinhos de compra forem abandonados devido a problemas de login.
Melhorar a segurança: sem senhas para roubar, as organizações podem eliminar um vetor chave que compromete a segurança. As senhas foram alegadamente culpadas por 84% dos vazamentos de dados no ano passado. Pelo menos, você estará fazendo os bandidos trabalharem muito mais para conseguir o que eles querem. E, no caso de ataques por força bruta, que atualmente atingem os bilhões a cada ano, se tornarão algo do passado.
Redução de custos e danos à reputação: minimizando os danos financeiros causados por ataques de ransomware e vazamentos de dados. Também reduzirá os custos administrativos de TI associados à redefinição de senhas e a investigação de incidentes. Um relatório indica que poderia custar até 150 euros (US$ 200) por redefinição de senha e cerca de 30 mil horas de perda de produtividade por ano. Isto para não mencionar o tempo extra gasto pelas equipes de TI que poderia ser gasto em tarefas de maior valor.
O que está impedindo a autenticação sem senha?
Entretanto, "sem senha" não é uma panaceia. Ainda existem várias barreiras à adoção, inclusive:
- A segurança não é 100% garantida: ataques de SIM swapping, por exemplo, podem ajudar os atacantes a contornar códigos de acesso únicos (OTPs) enviados via mensagem de texto (SMS). E, se os atacantes podem obter acesso a dispositivos e máquinas, por exemplo, através de spyware, eles também podem interceptar OTPs.
- A biometria não é infalível: ao autenticar com um atributo físico que o usuário não pode mudar ou reiniciar, o risco aumenta se os atacantes encontrarem uma maneira de comprometer o sistema. Técnicas de aprendizagem de máquinas já estão sendo desenvolvidas para minar a tecnologia de reconhecimento de voz e imagem facial.
- Custos elevados: as PMEs (pequenas e médias empresas) com uma grande base de usuários ou clientes podem achar que a implementação de alguma tecnologia sem senha acaba sendo bastante cara, sem mencionar os custos potenciais envolvidos na emissão de dispositivos ou fichas de substituição, se aplicável. Usar um fornecedor estabelecido como a Microsoft faz mais sentido, embora haja um custo de desenvolvimento interno associado.
- Relutância do usuário: há uma razão pela qual as senhas têm resistido ao longo do tempo, apesar de suas maiores falhas de segurança: os usuários instintivamente sabem como utilizá-las. Superar o medo do desconhecido pode ser mais facilmente abordado em um ambiente corporativo, onde os usuários não terão outra escolha senão seguir as regras. Mas em um mundo B2C poderia criar fricção extra suficiente para desmotivar os clientes. Portanto, deve-se tomar cuidado para tornar o processo de login o mais fácil e intuitivo possível.
Como a era pós-pandêmica de fato começa, duas tendências moldarão o futuro sem senhas: um aumento no uso de serviços on-line para consumidores e o surgimento do trabalho híbrido. Com o dispositivo móvel no centro de ambos, parece fazer sentido que qualquer estratégia corporativa sem senhas comece aqui.