As senhas têm sido o alicerce da segurança online há décadas. Praticamente todos os sistemas, aplicativos ou dispositivos que acessamos dependem de senhas para fazer login. Mas existe um problema com as senhas e precisamos parar de depender delas.
Neste Dia Mundial da (eliminação da) Senha, conversamos com Alex Cox, especialista em segurança e inteligência de ameaças cibernéticas, e David Turner, diretor sênior de Desenvolvimento de Padrões da FIDO Alliance, sobre o porquê e o como de nossa jornada rumo a um futuro sem senhas e como sua organização pode começar a resolver o problema das senhas.
O problema com as senhas
A internet não nasceu com senhas. A segurança veio depois. Com a evolução e o crescimento da internet, as pessoas precisavam de uma maneira de proteger e impedir que as informações fossem acessadas por quem não deveria. Atualmente, a internet tem o mesmo problema — a necessidade de acesso seguro —, mas em uma escala muito maior. O usuário comum pode ter mais de 100 logins. Embora os hábitos relacionados a senhas exijam senhas exclusivas para cada uma dessas contas, a realidade do uso das senhas é muito diferente. Com tantas senhas para memorizar, os colaboradores acabam usando atalhos para facilitar as coisas, e é por isso que as pessoas tendem a reutilizar senhas em várias contas ou usar praticamente as mesmas senhas com ligeiras alterações ou variações. Ou seja, se alguma das contas for comprometida, todas as contas que usam essa senha estarão em risco. “Os criminosos têm plena consciência da reutilização de senhas.” - Alex Cox, diretor de Segurança da Informação da LastPass A engenharia social também facilita muito o roubo de senhas. Os malfeitores sabem que as pessoas tendem a usar algo familiar ou de sua própria vida ao criar senhas e podem coletar inúmeras informações de contas de redes sociais e outras atividades na web. Se você tem fotos de seus animais de estimação online e usa os nomes deles como parte de sua proteção de senha, pode ser apenas uma questão de tempo até que alguém acesse sua conta. O cenário de ameaças está evoluindo diariamente e, às vezes, até mesmo especialistas em cibersegurança podem ter dificuldade para reconhecer um ataque de phishing moderno, uma das principais táticas de engenharia social. “Hackers não hackeiam, eles fazem login.” - David Turner, diretor sênior de Desenvolvimento de Padrões da FIDO Alliance A solução para o problema das senhas? Eliminar as senhas de uma vez por todas.Por que dar adeus às senhas?
A eliminação das senhas é a opção de segurança mais inteligente, mas os benefícios para empresas e usuários vão além disso. Embora as organizações possam implementar padrões de segurança mais robustos e proteger ativos, dados, usuários e clientes, reduzindo a vulnerabilidade geral, elas também podem:- Dedicar menos tempo ao gerenciamento de segurança de senhas, aliviando a carga de trabalho dos departamentos de TI, visto que as redefinições e o gerenciamento de senhas consomem uma quantidade significativa de tempo e recursos
- Reduzir o tempo e os custos de capacitação e treinamento de segurança
- Oferecer uma experiência de segurança descomplicada para a equipe de TI e os usuários (ou seja, máxima segurança com pouquíssimo esforço)
- Aumentar a produtividade, perdendo menos tempo no gerenciamento de senhas e na obtenção de acesso
- Melhorar a experiência do colaborador. Em uma pesquisa do Gartner, 64% dos participantes disseram que um mundo sem senhas tornaria possível gerenciar todas as contas com facilidade, e 40% se sentiriam “mais tranquilos” no geral.
A transição para um futuro sem senhas
Os especialistas concordam: a eliminação das senhas não acontecerá da noite para o dia. O verdadeiro acesso sem senhas a todos os sites, em todos os dispositivos, navegadores e sites, por meio do padrão FIDO2 levará anos para ser alcançado. É uma jornada complexa que requer suporte e esforços de desenvolvimento de milhões de provedores de tecnologia. Mas o movimento de eliminação das senhas já começou. As organizações já estão fazendo uso de vários recursos e abandonando as senhas para cada login ou autenticação somente com senha.- Gerenciadores de senhas: os gerenciadores de senhas podem reduzir o número de senhas que os colaboradores precisam monitorar ou resumi-lo a uma — a senha mestre do cofre. Cada senha pode ser gerada para atender a critérios mínimos de segurança e armazenada para tornar o login mais otimizado para os usuários.
- Logon único (SSO): você também pode reduzir o número de senhas usadas implementando o SSO. Com ele, colaboradores ou usuários autorizados têm acesso a aplicativos usando apenas um nome de usuário e senha, obedecendo à identidade e às permissões dos usuários.
- Autenticação multifator (MFA): a MFA é uma segunda camada de proteção para segurança das senhas — um ponto de autenticação que verifica a identidade de um usuário antes de conceder o acesso, permitindo login sem senha. Os fatores de MFA podem incluir notificações push em dispositivos móveis para aplicativos autenticadores iOS e Android, acesso biométrico (como leitura facial e de impressão digital, reconhecimento de voz), códigos SMS ou senhas de uso único.
- Chaves físicas: uma chave de segurança, como um YubiKey, é outra forma de MFA — uma peça de hardware similar a um USB que um usuário possui e usa junto com o dispositivo (como um telefone ou laptop). Como há apenas uma chave física por usuário, ela fornece acesso mais seguro.
- Chaves de acesso (passkeys): com base nos padrões FIDO, as chaves de acesso substituem as senhas e fornecem logins mais rápidos, fáceis e seguros em sites e aplicativos nos dispositivos de um usuário. Ao contrário das senhas, as chaves de acesso são sempre seguras e resistentes a phishing.