É possível viver sem as senhas?
“Passwordless” ou sem senha, em português, refere-se a métodos de autenticação que não utilizam senhas tradicionais, mas sim outros métodos seguros. Entre eles estão a biometria, os códigos temporários ou a autenticação multifator (MFA).
Migrar para uma solução sem senha pode ser uma ideia intimidadora, mas muitas organizações estão se afastando dos códigos tradicionais e implementando métodos de autenticação fáceis de usar e, possivelmente, mais seguros. Um relatório de autenticação da força de trabalho da FIDO e LastPass descobriu que 92% das empresas já possuem ou planejam usar tecnologia sem senha.
Aqui está o que você precisa saber sobre a adoção de soluções sem senha e o que isso significa para usuários e organizações. Além disso, ao utilizar soluções como assinatura eletrônica e CLM - para gestão do ciclo de vida de contratos - você aprimora a proteção dos seus acordos e documentos, dentro de uma plataforma confiável.
O que significa adotar soluções sem senha?
“Sem senha” refere-se a métodos de autenticação que não utilizam senhas tradicionais, mas outros métodos seguros - como biometria, códigos temporários ou autenticação multifator (MFA). A maioria de nós provavelmente já está usando uma ou mais dessas formas de autenticação. Pense em fazer login no seu notebook de trabalho todas as manhãs e autenticar com seu smartphone via MFA. Esses métodos de autenticação sem senha podem incluir:
Biometria
Atributos físicos ou traços comportamentais usados para reconhecer ou verificar a identidade. Você pode estar familiarizado com alguns desses métodos biométricos:
Leitura de impressão digital: Vemos isso em computadores mais novos; você abre seu notebook, toca no scanner e o sistema operacional faz o login sem usar uma senha.
Reconhecimento facial: Até alguns anos atrás, para manter o seu celular seguro, era necessário um código de acesso para desbloqueá-lo. Agora, a maioria de nós usa reconhecimento facial para desbloquear nossos smartphones e autenticar muitos dos aplicativos usados.
Reconhecimento de voz: O software captura as características da sua voz para criar uma impressão vocal única que é armazenada e usada para futuras tentativas de autenticação. Usar a sua voz é menos comum, mas você pode estar utilizando essa forma e nem saber. Por exemplo, se configurado corretamente, a ‘Siri’ deve reconhecer e responder apenas à sua voz.
Leitura de íris - Ainda menos comum, um hardware escaneia o seu olho, procurando por padrões únicos na sua íris. Este método provavelmente é usado em bunkers secretos subterrâneos e é menos provável de ser utilizado. Porém, em breve, assim como o reconhecimento de voz, esse método de autenticação eventualmente se tornará mais comum.
Tokens de hardware
Este método de autenticação sem senha usa um dispositivo físico, geralmente USB, que é inserido no seu dispositivo principal para fornecer validação. Enquanto o Google estava testando chaves de segurança físicas, descobriram que ataques de phishing foram 100% evitados por funcionários que autenticavam com um dispositivo físico. Um dos tokens de hardware mais populares é o YubiKey. Após registrar seu YubiKey e vinculá-lo aos serviços nos quais faz login, você o insere na porta USB do seu computador; então, ele se comunica com seu telefone para iniciar a autenticação.
Tokens de software
Provavelmente, você usa esse método de autenticação todos os dias. Um aplicativo secundário, seja um autenticador ou uma notificação push para um dispositivo móvel, é usado para verificar sua identidade.
Aplicativos autenticadores: Eles se tornaram bastante comuns e a maioria das empresas de tecnologia tem o seu próprio aplicativo. Alguns incluem Google Authenticator, Microsoft Authenticator ou LastPass Authenticator. Após tentar fazer login em um sistema, o aplicativo autenticador envia um código de uso único, ou pin, que você usará para concluir a verificação.
Notificações push: Se sua organização está utilizando o Okta, você provavelmente está usando notificações push para verificar os seus logins. As notificações push exigem um aplicativo no seu dispositivo móvel onde você completará a verificação única de identidade. Este aplicativo envia uma notificação push para o seu dispositivo após uma tentativa de login para verificar sua identidade.
Links mágicos
Semelhante aos aplicativos autenticadores e notificações push, mas sem a conveniência de um aplicativo nativo. Após tentar fazer login em um sistema, um link é enviado para seu e-mail registrado ou como uma mensagem de texto para seu número de telefone registrado. Clicar no link verifica a sua identidade e permite o seu acesso ao sistema.
Por que adotar soluções sem senha?
Todo o nosso treinamento em cibersegurança nos ensinou a importância da complexidade das senhas — comprimento, números, caracteres especiais. A importância de mudar periodicamente as senhas - e atualizá-las, sem que elas sejam variações de alguma anterior - também fez parte do nosso aprendizado. Esperamos que nenhum de nós esteja colando notas nos monitores.
Todas essas regras, muitas vezes, levam a uma sensação de “fadiga de senha”, onde a maioria dos usuários tem dezenas de contas, sejam pessoais ou de trabalho, e eles têm que manter uma biblioteca mental de todas as senhas e regras complexas associadas a elas. Muitas vezes, por causa dessa “fadiga”, os usuários desenvolvem um gerenciamento de senhas ruim, mais comumente tendo uma senha para todas as suas contas, pessoais e profissionais. Embora existam algumas soluções de software de terceiros que ajudam você a armazenar as suas senhas com segurança, ironicamente, essas também costumam exigir senhas para usá-las.
Infelizmente, o roubo é outro problema com senhas tradicionais. Ataques de phishing são um dos métodos mais comuns que os criminosos usam para roubar senhas. Em um relatório de gerenciamento de identidade e acesso da Forrester, empresas que migraram para uma solução sem senha notaram uma redução de 50% em incidentes relacionados a phishing. Vazamentos de dados são outra via comum para os cibercriminosos roubarem não apenas senhas, mas também outras informações sensíveis.
Benefícios de implementar soluções sem senha
Experiência do usuário
Os usuários adoram a ideia de eliminar senhas. Não ter que lembrar ou gerenciar várias senhas complexas e métodos de autenticação mais rápidos e convenientes são definitivamente vantagens do ponto de vista da experiência do usuário.
Secret Double Octopus, uma empresa especializada em tecnologia sem senha, conduziu uma pesquisa e descobriu que 79% dos usuários preferem métodos sem senha em vez de senhas tradicionais.
Economia de custos
Acredite ou não, senhas têm um custo. Da próxima vez que você estiver no café conversando com um técnico de suporte de TI, pergunte quantas vezes eles receberam um pedido de redefinição de senha. Recursos significativos são gastos na gestão de senhas, incluindo redefinição de senhas e implementação de soluções de MFA. O relatório de gerenciamento de identidade e acesso da Forrester menciona um estudo da Gartner que mostra que 20–50% de todas as chamadas para o help desk de TI são para redefinições de senha, com o custo médio de uma única redefinição sendo de $70.
O Instituto Ponemon, uma instituição independente de pesquisa e educação, conduziu um estudo que descobriu que empresas que usam tecnologia sem senha economizaram, em média, $1 milhão anualmente em custos relacionados ao suporte de TI.
Conformidade regulatória
Programas de conformidade exigem métodos e soluções de autenticação fortes para alcançar e manter a conformidade. A tecnologia sem senha facilita para uma organização cumprir os requisitos estabelecidos em programas como PCI-DSS, FedRAMP, SOC e ISO 27001. Soluções sem senha também facilitam o cumprimento de padrões de proteção de dados e privacidade, como a LGPD e CCPA.
Segurança aprimorada
Métodos sem senha são comprovadamente mais seguros do que senhas tradicionais porque dependem de um fator extra: algo que o usuário possui (um dispositivo físico) ou algo que o usuário é (dados biométricos), em vez de algo que o usuário sabe. Essas camadas extras de proteção são únicas para um indivíduo e difíceis de roubar, proporcionando mais segurança do que senhas.
Do ponto de vista organizacional, uma solução sem senha reduz a superfície de ataque de uma empresa. Eliminar o banco de dados necessário para armazenar, gerenciar e transmitir dados de senha remove o vetor que pode ser potencialmente violado ou vazado. O roubo em massa de credenciais não é possível se não houver nada para roubar. O roubo em massa de credenciais não é apenas um evento único e pode levar a “preenchimento de credenciais”, onde credenciais roubadas são reutilizadas várias vezes para acessar diferentes contas de usuário.
Segurança aprimorada com soluções sem senha
Como mencionado, mais da metade dos ataques cibernéticos ocorre devido a credenciais roubadas. Implementar soluções sem senha melhora a experiência do usuário e também pode ajudar as organizações a obter certificações de conformidade e cumprir os padrões estabelecidos por vários órgãos reguladores. Mais importante é que as soluções sem senha fornecem um nível de segurança aprimorada que não é possível através de métodos tradicionais de senha.
Reduzir vulnerabilidades relacionadas a senhas e fornecer métodos sem senha mais fortes melhora a experiência do usuário e desenvolve uma postura de segurança mais forte.
A Docusign oferece um extenso portfólio de soluções de identificação e autenticação fáceis de usar para atender a uma variedade de casos de uso globalmente. Para saber mais sobre essas soluções, entre em contato com seu gerente de conta Docusign ou leia aqui.
Diego Lopes é um Gerente Senior de Marketing de produto na Docusign. Com mais de 14 anos de experiência em gestão de produtos, com foco em soluções digitais para Business Intelligence, Insights, Mídia e campanhas; Bacharel em Comunicação pela Universidade de São Paulo (ECA-USP) e Pós-graduado em Gestão Empresarial pela Escola Superior de Propaganda e Marketing (ESPM);
Publicações relacionadas