O movimento passwordless tem sido um assunto muito discutido entre os profissionais e especialistas em Segurança da Informação. As tendências apontam para um caminho de sofisticação na autenticação dos acessos sem uso de senhas, explorando mais recursos de biometria. Isso porque existem limitações do uso de senhas justamente pelo momento atual de grande conectividade e complexidade de infraestrutura.
Padrões emergentes de tecnologia e a maior disponibilidade de dispositivos que suportam métodos rápidos de autenticação estão aumentando a adoção dessas novas soluções sem senha. A biometria tornou-se cada vez mais popular como um método sem senha para uma identificação mais forte, mas outras opções incluem tokens de hardware, telefone como um token, identificação online e análises baseadas em comportamentos passivos.
Na visão de Ricardo Castro, Information Security Manager da Creditas, quando se coloca em pauta as senhas tradicionais, existem várias perspectivas a serem analisadas. Segundo Castro, senha é a primeira coisa pensada quando o tema é Segurança, ou seja, trata-se de algo que precisa ser mantido sob sigilo e que deve ser difícil de adivinhar, porém, próximo de lembrar.
“Tecnicamente, quanto maior e mais complexa, mais difícil de ser descoberta, quanto menos for reutilizada entre portais e serviços, menor o risco de exposição. Mas a questão é que o balanceamento entre tamanho, complexidade e quantidade de senhas, vira uma pedra no sapato e a partir desse ponto o usuário tenta achar a melhor forma de ‘orquestrar’ essas dificuldades das formas mais criativas e ao mesmo tempo não tão seguras”, pontua o executivo em entrevista à Security Report.
Ele explica que a provocação que os CISOs fazem em discussões é justamente tornar essa relação entre usuário e senha menos complexa possível do ponto de vista de adoção e mais barata quando envolve uma estrutura de controles de credenciais de acesso pessoais e corporativos.
Um levantamento do Gartner, por exemplo, revelou que até o final de 2022, 60% das grandes empresas globais e 90% das médias empresas norte-americanas terão implementado autenticações sem senha em mais de 50% das suas aplicações. Mas será que os usuários estão prontos em termos de maturidade para esses novos meios de autenticação?
Para Castro, tudo que é mais simples acaba sendo de rápida adoção pelos usuários. Ele acrescenta um outro fator, o mundo mobile que andou na frente nessa questão e segue muito evoluído quando se trata de um mundo passwordless.
“UX é uma prática que vem apoiando esse movimento para tornar o processo mais amigável. Novamente, no mundo mobile, vemos isso virando padrão de mercado. No universo Enterprise, temos boas promessas, mas ainda existe um custo relativamente alto em termos de adoção”, pontua o Information Security Manager da Creditas.
Em um futuro próximo, consequente, vem os riscos. E um dos pontos destacados por Ricardo Castro é a falta de padronização da adoção técnica, dado que há ainda diversas aplicações de mercado que não usam técnicas simples como SSO (single sign-on) e biometria. “Uma eventual implementação pela metade faz com que parte do problema seja simplificado, mas é possível que os sistemas e plataformas mais importantes da empresa não sejam cobertos por uma tendência de passwordless”, finaliza Castro.