Autentificarea fără parolă: este compania dumneavoastră pregătită să renunțe la parole?


Arhicunoscutul „123456” are zilele numărate? Pe măsură ce Microsoft îndepărtează și mai mult lumea de folosirea parolelor, iată ce ar trebui să ia în considerare organizația dvs. înainte de a aplica o politică fără parole.

Acest nou concept, „fără parolă” (passwordless), promite că va face viața mult mai ușoară – atât pentru utilizatori, cât și pentru echipele de securitate, oferind perspectiva tentantă de a reduce costurile de administrare, de a spori productivitatea și de a reduce riscul cibernetic. Și totuși, în ciuda acestor beneficii atrăgătoare, implementarea acestui concept, atât în mediile business-to-consumer (B2C) cât și în mediile business-to-business (B2B), nu a fost atât de extinsă pe cât s-a preconizat. 

Cu toate acestea, atunci când cea mai mare companie de software din lume decide să susțină o nouă abordare tehnologică, este timpul să analizăm mai în detaliu. Cu ceva timp în urmă, Microsoft a descris parolele ca fiind „incomode, nesigure și costisitoare”; dacă facem un fast forward până în martie anul acesta, descoperim cum compania a și introdus autentificarea fără parolă pentru clienții de afaceri. În septembrie, Microsoft a anunțat că va extinde suportul pentru toți utilizatorii. Pe baza acestor declarații, s-ar putea spune că era autentificării fără parolă este aici în sfârșit.

Când parolele nu mai servesc scopului pentru care au fost concepute

Parolele există de aproximativ la fel de mult timp ca și computerele. Șfârșitul vieții lor a fost prezis de multe ori. Și totuși, acestea sunt încă aici, securizând totul, de la aplicații corporative la servicii bancare online, conturi de e-mail și conturi de comerț electronic.

Problema este că acum avem prea multe date de acces de acest tip de administrat și reținut. O estimare sugerează că 57% dintre angajații din SUA au notat parole corporative pe bilețele tip post-it. Iar numărul acestora crește exponențial, pe măsură ce ne extindem amprenta digitală. O estimare din octombrie 2020 susține că o persoană obișnuită folosește aproximativ 100 de parole, cu aproape 25% mai multe decât înainte de începerea pandemiei.

Din perspectiva securității cibernetice, provocarea legată de parole este bine documentată. Ele oferă atacatorilor o țintă care este din ce în ce mai ușor de furat sau de ghicit și mai vulnerabilă atacurilor tip phishing sau celor de forță brută. Odată ce intră în posesia lor, autorii atacurilor pot impersona utilizatorii legitimi, trecând pe lângă nivelurile de securitate perimetrale și rămânând ascunși în interiorul rețelelor corporative mult mai mult decât ar fi cazul. Timpul necesar pentru identificarea și limitarea unei încălcări de securitate a datelor este astăzi de 287 de zile.

Aplicațiile de management al parolelor și conectarea unică la acestea oferă o anumită formă de  compensație pentru aceste provocări, stocând și reținând parole complexe pentru fiecare cont în parte, astfel încât utilizatorii să nu mai facă acest lucru. În pofida acestor caracteristici, managerii de parole nu sunt încă atât de populari în rândul consumatorilor. Rezultatul? Reutilizăm aceleași date de acces ușor de reținut, pentru mai multe zone de acces parolat, expunând conturile de consumatori și business la atacuri de tip credential stuffing și la alte tehnici de spargere care apelează la forță brută.

Nu mai este vorba doar despre riscul de securitate. Parolele necesită resurse semnificative de timp și bani pentru ca echipele IT să le gestioneze și pot provoca complicații suplimentare în procesul de navigare al clienților. Breșele de securitate pot necesita resetări în masă pentru volume mari de conturi, ceea ce poate interfera cu experiența utilizatorului în mediile B2B și B2C.

Cât de mult poate beneficia afacerea dvs. de strategia „fără parole”

În acest context, autentificarea fără parolă oferă un avantaj major. Folosind o aplicație de autentificare cu sisteme biometrice, cum ar fi recunoașterea facială, o cheie de securitate sau un cod unic trimis prin e-mail/SMS, organizațiile pot elimina dintr-o singură mișcare neconcordanțele de securitate și de administrare asociate cu acreditările statice.

Prin adoptarea acestei abordări pentru operațiunile B2B și B2C deopotrivă, companiile pot:

  • Îmbunătăți experiența utilizatorului: conectările devin mai fluide și se elimină nevoia utilizatorilor de a-și aminti parolele. Acest lucru ar putea conduce chiar și la îmbunătățirea vânzărilor, un exemplu fiind cazul coșurilor de cumpărături abandonate din cauza problemelor la autentificare.
  • Îmbunătăți securitatea: dacă nu există parole de furat, organizațiile pot elimina un vector cheie pentru compromiterea datelor sensibile. Se bănuiește că parolele au fost principalul motiv  pentru 84% din breșele de securitate de anul trecut. Dacă acestea dispar, atacatorii vor trebui să muncească mult mai mult pentru a obține ceea ce își doresc. Atacurile de tip „credential-stuffing”, cu o rată de folosire de numărul miliardelor în fiecare an, ar deveni un lucru din trecut.
  • Reduce costurile și daunele reputaționale: prin reducerea la minim a oportunităților de atac ransomware, foarte dăunător la nivel financiar și  cu impact sever la nivelul securității datelor. De asemenea, se pot reduce și costurile de administrare IT asociate cu resetarea parolei și investigarea incidentelor. Un raport pe acest subiect susține că acest lucru ar putea costa, în unele situații, până la 150 de lire sterline (200 de dolari) per solicitare de resetare a parolei și, cumulat, până la 30.000 de ore de productivitate pierdută pe an. Asta ca să nu mai vorbim de timpul suplimentar disponibil pentru echipele IT, ce poate fi alocat unor taskuri cu importanță mai mare.

Ce rețineri există legate de adoptarea unui sistem de autentificare „fără parolă”?

Cu toate avantajele menționate, tehnicile „fără parolă” nu sunt o soluție miraculoasă, lipsită de neajunsuri. Rămân încă destule bariere în calea folosirii mult mai intense, printre care putem menționa:

  • Securitatea nu este asigurată 100%: atacurile de swap SIM, de exemplu, pot ajuta atacatorii să ocolească codurile de acces unice (OTP) trimise prin SMS. Și dacă hackerii pot accesa dispozitive/sisteme, de exemplu prin programe spyware, ar putea intercepta și OTP-uri.
  • Datele biometrice nu sunt o soluție imediată: prin autentificarea cu un atribut fizic pe care utilizatorul nu îl poate modifica sau reseta, miza devine mult mai mare dacă atacatorii găsesc o modalitate de a pirata sistemul. Tehnicile de învățare automată sunt deja dezvoltate pentru a submina tehnologia de recunoaștere a vocii și de recunoaștere facială/imagine.
  • Costuri ridicate: IMM-urile cu o bază mare de utilizatori sau de clienți pot descoperi că lansarea unor tehnologii fără parolă ajunge să fie în sine destul de costisitoare, ca să nu mai vorbim de potențialele costuri suplimentare pentru înlocuirea de dispozitive sau token-uri compromise, dacă este cazul. Utilizarea unui furnizor consacrat precum Microsoft este o alegere preferabilă, deși va veni asociat un cost intern de dezvoltare.
  • Reticența utilizatorilor: Există un motiv pentru care parolele au trecut testul timpului, în ciuda deficiențelor lor majore de securitate - utilizatorii știu instinctiv cum să le folosească. Depășirea fricii de necunoscut ar putea fi abordată mai ușor în cadrul mediul corporativ, unde utilizatorii nu vor avea altă opțiune decât să respecte regulile. Dar într-o lume B2C, retragerea autentificării cu parole ar putea crea suficiente conflicte suplimentare pentru a descuraja clienții. Prin urmare, trebuie luat în considerare ca procesul de conectare să fie cât mai simplu și intuitiv posibil.

Pe măsură ce era post-pandemie continuă, două tendințe vor modela viitorul adoptării autentificării „fără parolă”: o creștere a utilizării serviciilor online de către consumatori și apariția locului de muncă tip hibrid. Având dispozitivul mobil ca piesă centrală în ambele scenarii, este perfect legitim ca acesta să fie punctul de plecare pentru orice strategie corporativă „fără parolă”.

Phil Muncaster November 11, 2021

Lasa un comentariu