Vivemos conectados por tanto tempo e em tantos canais, que a maioria de nós já nem sequer pensa muito a respeito. Nossos dados trafegam entre aplicativos, e-mails, plataformas de empresas e governos, o que proporciona conveniência e praticidade em muitos sentidos, mas também nos expõe a possibilidade de falhas de segurança.
Os números relacionados a vazamentos de dados na Internet demonstram a importância da atenção à segurança da informação, afinal, apenas no primeiro semestre de 2021, mais de 4,6 bilhões de credenciais foram vazadas, representando um aumento de 387% em relação a todo o ano de 2019, por exemplo.
Vazamentos de dados são definitivamente um problema, mas, é difícil encontrar um grande ataque cibernético nos últimos cinco anos, em que a identidade, geralmente uma senha comprometida, não tenha fornecido o vetor de ataque. Vivemos um momento em que não existem senhas “seguras”, afinal, são “segredos compartilhados” que precisam ser conhecidos pelo usuário e aplicações que as armazenam nos servidores de autenticação, tornando-as inerentemente vulneráveis a inúmeros métodos de ataque, entre eles o phishing, malwares e ataques de força bruta.
O uso de phishing, por exemplo, para enganar usuários e descobrir suas senhas é o mais alarmante. Um relatório do Anti-Phishing Working Group (APWG) descobriu que 2016 foi o pior ano da história para golpes utilizando o método, com um volume de ataques 65% maior em relação ao ano anterior.
Diante do aumento da frequência de ataques do tipo, governos buscam políticas focadas no impulsionamento da adoção de autenticação multifator (MFA), que podem evitar ataques baseados em senha e proteger de forma mais eficiente dados e sistemas críticos.
A consultoria em gestão de risco e segurança Chertoff Group, elenca 8 princípios fundamentais para que governos protejam ativos críticos de forma eficiente através de políticas de autenticação.
1. Tenha um plano que aborde explicitamente a autenticação
Embora uma abordagem sólida para autenticação seja apenas um elemento de uma abordagem adequada ao gerenciamento de riscos cibernéticos, qualquer iniciativa cibernética que não inclua um foco em autenticação forte está lamentavelmente incompleta.
2. Reconheça as limitações de segurança dos segredos compartilhados
Os responsáveis pela elaboração de políticas de segurança devem entender as limitações das tecnologias de MFA de primeira geração, como senhas de uso único ou OTPs, que dependem de segredos compartilhados e buscam incentivar a adoção de alternativas mais seguras, como aquelas que utilizam criptografia de chave pública onde as chaves são sempre armazenadas — e nunca saem — do dispositivo do usuário, como Padrões de autenticação FIDO.
3. Garanta que as soluções de autenticação sejam compatíveis
À medida que o uso de transações móveis cresce, qualquer política que não esteja voltada para otimizar o uso de MFA no ambiente móvel não conseguirá proteger de fato as transações realizadas.
4. Não prescreva nenhuma tecnologia ou solução única
A autenticação está no meio de uma onda de inovação, e novas tecnologias melhores continuarão a surgir. Por esse motivo, os governos devem se concentrar em uma abordagem baseada em princípios da política de autenticação que não impeça o uso de novas tecnologias.
5. Incentive a adoção generalizada escolhendo soluções de autenticação fáceis de usar
A baixa usabilidade frustra os usuários e impede a adoção generalizada. As soluções de MFA de última geração reduzem drasticamente esse “atrito do usuário” e, ao mesmo tempo, oferecem ganhos de segurança ainda maiores. Os responsáveis pelas políticas devem procurar incentivos para incentivar o uso de MFA de próxima geração que aborde tanto a segurança quanto a experiência do usuário.
6. Entenda que as antigas barreiras à autenticação forte não se aplicam mais
Um dos maiores obstáculos à adoção de MFA tem sido o custo — anteriormente, poucas organizações podiam se dar ao luxo de implementar tecnologias de MFA de primeira geração. Hoje, existem dezenas de empresas que oferecem soluções de autenticação de próxima geração que são mais fortes que as senhas, mais simples de usar e menos dispendiosas de implantar e gerenciar.
7. Saiba que a privacidade é importante
As soluções de MFA podem variar muito em sua abordagem à privacidade — algumas rastreiam cada movimento dos usuários ou criam bancos de dados de informações do consumidor. Essas soluções levantam preocupações com a privacidade e criam caches valiosos de informações que estão sujeitas a ataques. Felizmente, hoje várias empresas de autenticação adotaram uma abordagem de “privacidade desde a concepção” que mantém uma biometria valiosa no dispositivo de um usuário e minimiza a quantidade de dados pessoais armazenados nos servidores.
8. Use biometria apropriadamente
A quase ubiquidade dos sensores biométricos em dispositivos móveis está criando opções para autenticação segura, facilitando o uso de tecnologia como impressão digital e reconhecimento facial. No entanto, a biometria é mais bem utilizada como uma das camadas de uma solução MFA — combinando uma biometria em um dispositivo para, em seguida, desbloquear um segundo fator.
Idealmente, a biometria deve ser armazenada e combinada apenas em um dispositivo, evitando a necessidade de lidar com os riscos de privacidade e segurança associados a sistemas que armazenam biometria centralmente. Todos os dados biométricos armazenados em um servidor são vulneráveis a cair em mãos erradas caso o servidor seja comprometido. Este foi o caso em junho de 2015 quando ocorreu a violação do Office of Personnel Management (OPM) dos Estados Unidos, resultando em 1,1 milhão de impressões digitais comprometidas.
Conclusão
Não há tecnologia ou padrão capaz de eliminar o risco de ciberataques, mas adotar padrões modernos de MFA pode ser um passo fundamental para uma redução significativa. Através dos oito princípios governos podem criar uma sólida base para o uso da autenticação multifator, que melhora a segurança coletiva e contribui para maior privacidade e confiança no ambiente digital.