A crescente demanda por autenticação forte

Demanda por uma maneira melhor de proteger o crescimento dos dados das organizações.

O mercado de gerenciamento de identidade e acesso (IAM) continua a crescer significativamente, com órgãos de pesquisa prevendo uma taxa de crescimento anual entre 13% e 26%.

Nunca foi tão importante para os líderes de TI de organizações de todas as formas e tamanhos proteger os dados que mantêm e, no entanto, muitos funcionários ainda podem acessar dados seguros com uma senha.

À medida que os dados que as empresas mantêm crescem exponencialmente, juntamente com os locais em que trabalhamos e os dispositivos que usamos, como funcionários, é fundamental que as organizações tenham as soluções para garantir que as pessoas certas tenham acesso aos dados certos.

Senha: pR0tEct3D

Mas usamos senhas para tudo. Estamos protegidos, certo?

Senhas, mesmo senhas de uso único (OTPs) são métodos fracos de autenticação e não são seguros. Cibercriminosos e hackers de estados-nações têm vários golpes de phishing, engenharia social e meios de força bruta para roubar dados de organizações usando autenticação fraca de funcionários.

Como organização, defendemos a autenticação forte como padrão. Mas muitos ainda estão convencidos de que a autenticação forte é reservada para grandes empresas e grandes orçamentos.

Esse não é o caso, e estamos trabalhando para aumentar a conscientização de que a autenticação forte é possível para organizações de todos os tamanhos.

Pirâmide de autenticação

Você pode pensar na identidade digital e nas hierarquias de gerenciamento de acesso como uma pirâmide – embora mais como a hierarquia de necessidades de Maslow do que Khufu e Gizé.

Essa pirâmide fornece uma maneira simples de visualizar como a fatia de autenticação do cenário do IAM divide e categoriza as tecnologias atualmente disponíveis no mercado.

Existem inúmeros fornecedores de autenticação multifator por aí, mas saber onde todos eles se encaixam e as vantagens e desvantagens de sua tecnologia não é tarefa fácil.

Na base da pirâmide fica o método de autenticação de baixa segurança; senhas, a causa de mais de 80% das violações de dados, inerentemente inseguras, um problema para os usuários finais e igualmente frustrante para as equipes de TI.

Em seguida, temos as senhas de uso único (OTPs). Os OTPs oferecem melhor proteção do que as senhas sozinhas, mas ainda são vulneráveis ​​em comparação com outros métodos de autenticação mais fortes. Um OTP por SMS, por exemplo, gerado por um servidor e enviado para um dispositivo móvel, exige que um usuário final insira um código curto recebido via SMS para verificar sua identidade com o servidor de autenticação. A fraqueza aqui decorre do fato de que o SMS não é um canal seguro de comunicação; aplicativos não autorizados podem interceptar e encaminhar um SMS para um hacker, não há vinculação direta da credencial à identidade do usuário e a experiência do usuário é ruim. Os tokens OTP são mais robustos, geralmente contando com criptografia simétrica, mas isso normalmente depende de uma chave secreta compartilhada que pode ser comprometida.

Progredindo ainda mais na pirâmide, temos a biometria. Há uma percepção de que se eu puder acessar esses dados com minha impressão digital, eles devem ser seguros, certo? Não exatamente.

Embora a biometria seja compatível com uma grande variedade de dispositivos e forneça uma boa experiência ao usuário, a biometria centralizada pode ser comprometida. Existe o risco de falsas correspondências, dependendo do hardware e software utilizado e uma biometria ainda é um fator único de autenticação. Para políticas de TI que exigem ambientes de alta segurança, a segurança da plataforma de um dispositivo biométrico geralmente não tem a força necessária.

As notificações push oferecem um nível mais alto de segurança de autenticação – ao contrário do SMS, o mecanismo push é normalmente criptografado e, portanto, resistente a ataques. Isso requer algum investimento – normalmente em um servidor de autenticação e é importante considerar a segurança do gatilho para o mecanismo de autenticação. Embora a notificação por push seja segura, o mecanismo de autenticação acionado por ela pode ser menos seguro.

O Faster Identity Online, mais conhecido como FIDO, está quase no topo da pirâmide de autenticação. Baseado em padrões e usando criptografia de chave pública/privada, este é um método crescente de autenticação. PIN, impressão digital e identificação facial são todos suportados pelo FIDO e, portanto, a experiência do usuário é boa. As limitações do FIDO são que ele é uma identidade digital segura, mas não uma identidade digital vinculada à pessoa. Como a chave pública não está diretamente vinculada à identidade do usuário, é difícil provar o não repúdio. Isso significa que o elemento de autenticação é limitado ao login – um usuário não pode assinar ou criptografar com segurança sem soluções adicionais. O investimento em um servidor de autenticação também é necessário para o FIDO.

No topo da pirâmide de autenticação está a infraestrutura de chave pública (PKI). A PKI combina uma chave privada com uma chave pública e um certificado emitido por uma autoridade confiável. Baseado em criptografia, usando criptografia assimétrica, uma vez que um usuário é registrado, um certificado vincula uma chave ao(s) dispositivo(s) desse indivíduo a partir do qual ele(a) autentica usando autenticação multifator – algo que eles possuem (o(s) dispositivo(s) credenciado(s) mais algo que eles sabem ( um PIN) e/ou algo que sejam (biométricos).

Esse método de autenticação multifator (MFA) é orientado pelas próprias políticas de segurança de uma organização e, portanto, a PKI oferece suporte a PIN, impressão digital e identificação facial. A PKI vincula uma chave a uma identidade de usuário e, portanto, permite o não repúdio, permitindo autenticação e autorização por meio de assinatura digital e criptografia de usuários. Além disso, as transações podem ser verificadas por qualquer sistema, pois a chave pública está contida no certificado e a PKI se integra facilmente aos ambientes da Microsoft usando recursos de segurança internos do Windows.

Embora a PKI apresente segurança ideal, sua percepção entre os líderes de TI é de que é uma solução complexa. Como resultado, as empresas tendem a olhar mais para baixo na pirâmide e optar por soluções menos seguras, mas mais fáceis de implementar. Por meio de tecnologias aprimoradas de usuário final, como smartphones e tokens USB como o YubiKey, e tecnologia pré-instalada como o Windows Hello for Business da Microsoft, a proteção em nível de criptografia tornou-se muito mais acessível para organizações de todos os tamanhos.

Soluções focadas

Organizações como a Intercede estão na vanguarda da revolução criptográfica e responderam desenvolvendo uma plataforma de software de gerenciamento de credenciais para permitir que mais empresas adotem segurança de autenticação forte.

Ao combinar a tecnologia Microsoft Active Directory e Certificate Services que muitas organizações já incorporaram em sua infraestrutura de TI com processos de negócios predefinidos com base nas melhores práticas, desenvolvemos um gerenciamento de credenciais simples e acessível para que toda uma nova gama de empresas alcance o topo da pirâmide de autenticação.

Sem software de gerenciamento de credenciais, o gerenciamento de cartões inteligentes e tokens USB em volumes acima de 500 funcionários se torna complexo e consome muito tempo para as equipes de TI.

No entanto, essa nova capacidade de remover as complexidades do gerenciamento de credenciais de PKI torna a forma mais forte de autenticação de usuário muito mais acessível para empresas que não desejam comprometer a segurança dos dados.

Com soluções integradas em sua infraestrutura de TI, as organizações podem começar a emitir certificados para cartões inteligentes de funcionários de diversos fabricantes e tokens USB, como o YubiKey. Eles também podem controlar centralmente o gerenciamento do ciclo de vida das credenciais dos funcionários para reemissão, revogação, desbloqueio, renovação, remoção e atualização.

Seja para fornecer Windows seguro e logon de rede, VPN e acesso remoto, assinar e criptografar e-mails ou proteger o acesso a recursos de nuvem, essas soluções recém-disponíveis facilitam para empresas de qualquer tamanho e estrutura avançar para o método mais seguro de dois autenticação de fator em toda a sua força de trabalho.

Como resultado, o mercado está vendo um crescimento significativo na demanda de organizações que desejam uma maneira melhor de proteger os dados pelos quais são responsáveis. Este é um sinal encorajador – não apenas para fornecedores de soluções de segurança cibernética, mas para funcionários, cidadãos, consumidores e a sociedade em geral.

___
por Allen Storey
fonte: ITProPortal