16 de junho de 2022

A Netflix fez manchetes recentemente devido à sua intenção de reprimir a partilha de palavras-passe. A empresa estima que, embora tenha 222 milhões de lares pagantes em todo o mundo, também tem outros 100 milhões de lares que partilham o acesso à Netflix.

Terá a Netflix razão em reprimir os seus utilizadores por partilharem palavras-passe? Essa é uma decisão estratégica que lhes cabe tomar. Mas o que é certo é que a Netflix não será a única a enfrentar o que é um desafio global: a inadequação das palavras-passe.

Neste artigo, vamos analisar...

  • Porque é que a partilha de palavras-passe é um problema.
  • As outras limitações das palavras-passe.
  • Como é que os desafios das palavras-passe se estendem a outras indústrias e como se pode resolver o problema com a tecnologia de autenticação biométrica facial.

Vamos começar!

A Netflix está a combater as palavras-passe: a credencial partilhável

Um dos problemas mais significativos com as palavras-passe é que as pessoas podem partilhá-las - podem facilmente escrevê-las, partilhá-las verbalmente ou guardá-las em dispositivos partilhados. Como as palavras-passe podem ser partilhadas, não são fiáveis para confirmar a identidade de um utilizador.

A partilha de senhas coloca problemas tanto para as organizações como para os consumidores:

  • Para as organizações: Para serviços de streaming como o Netflix, a partilha de palavras-passe afectará diretamente as receitas e outras métricas comerciais importantes. Como se pode distinguir entre alguém que faz parte de uma conta paga genuína e alguém que não pagou nada mas está a utilizar a palavra-passe de alguém que pagou? Limitar o acesso a utilizadores pagos é uma opção estratégica para a Netflix, mas noutros sectores é extremamente importante limitar quem acede a informações e dados sensíveis. Para os governos, a partilha de palavras-passe pode ser uma questão de segurança nacional. Se uma palavra-passe pode ser comprometida, então qualquer sistema que dependa de palavras-passe pode ser comprometido.
  • Para os consumidores: embora a partilha de uma palavra-passe com um familiar ou amigo possa não parecer um grande problema para os serviços de streaming, sabemos que as pessoas reutilizam as palavras-passe nas suas contas. Assim, do ponto de vista da cibersegurança, isto significa que cada vez que partilha uma palavra-passe, está a assumir um maior risco de que essa palavra-passe seja comprometida. Ao reutilizar palavras-passe, o risco pode ir para além da Netflix - estendendo-se às suas contas bancárias, redes sociais ou outros serviços online.

As palavras-passe são autenticação baseada no conhecimento ou algo que se sabe. Tal como as perguntas secretas sobre o seu primeiro animal de estimação ou o nome de solteira da sua mãe, estes métodos de segurança baseiam-se em conhecimentos que podem ser facilmente roubados, partilhados ou adivinhados.

É por isso que a autenticação multi-fator se tornou tão prevalecente. Se a segurança baseada no conhecimento não é segura, então é necessário combinar outros factores para aumentar a segurança:

  • Autenticação baseada na posse ou algo que tenha: Por exemplo, o seu banco pode enviar um código de acesso único por SMS para o seu dispositivo móvel. A lógica aqui é que o seu dispositivo é sua posse e, portanto, é improvável que um fraudador tenha acesso tanto à sua palavra-passe como ao seu dispositivo móvel. Pode ser improvável, mas não é difícil de acontecer - um bem pode ser partilhado ou roubado, tal como uma palavra-passe.
  • Autenticação por inerência ou algo que se é: A biometria oferece uma opção muito mais segura para a autenticação em linha. Não é possível partilhar um rosto físico. Pode partilhar uma cópia do mesmo através de uma fotografia, mas a tecnologia Genuine Presence Assurance® liveness detectará se se trata de um ser humano real ou de uma cópia.

Outros problemas com as palavras-passe (e porque é que já não servem para o efeito)

Para a Netflix, o principal problema das palavras-passe é a facilidade de as partilhar. Mas há uma série de outras formas de as palavras-passe se revelarem desastrosas:

  • As palavras-passe podem ser roubadas: um chocante 80% das violações relacionadas com a pirataria informática continuam a envolver credenciais comprometidas e fracas - ou seja, palavras-passe roubadas. Isto deve-se em grande parte ao facto de as pessoas partilharem, anotarem e reutilizarem as suas palavras-passe. Um número impressionante de 60% dos consumidores teve de alterar uma palavra-passe após uma violação de dados.
  • As palavras-passe não são fáceis de utilizar e podem ser esquecidas:os utilizadores sentem-se frequentemente frustrados quando vão iniciar sessão e se apercebem de que se esqueceram da palavra-passe definida para essa conta. Um número impressionante de 32% dos consumidores globais teve de solicitar um lembrete de palavra-passe nas últimas 24 horas.
  • As palavras-passe têm um elevado custo operacional para as organizações: A Forrester Research identificou várias grandes organizações sediadas nos EUA em diferentes sectores verticais que atribuem mais de 1 milhão de dólares por ano só para custos de suporte relacionados com palavras-passe.

Pode ler mais estatísticas sobre as desvantagens das palavras-passe aqui

A dependência global das palavras-passe é particularmente preocupante quando se pensa na gravidade do que pode correr mal. O Colonial Pipeline Exploit foi um exemplo recente das consequências desastrosas da segurança baseada em palavras-passe. A pirataria fechou o maior oleoduto de combustível dos EUA e aconteceu porque a palavra-passe comprometida de um funcionário foi divulgada na dark web. Esta palavra-passe concedeu então ao atacante acesso remoto a toda a rede informática da empresa, o que custou 4,4 milhões de dólares de resgate - um cenário que poderia ter sido evitado com uma autenticação mais forte.

As palavras-passe também têm uma falha de conceção fundamental: quanto mais seguras forem, mais difíceis são de lembrar! 

A solução: como impedir a partilha de palavras-passe?

Já estabelecemos que o problema que a Netflix está a enfrentar se deve às falhas inerentes às palavras-passe. Se a empresa decidir limitar a partilha de contas, precisará de um novo e melhorado método de autenticação. Este método de autenticação deve melhorar a experiência do utilizador em vez de criar um obstáculo. A introdução de um método de autenticação errado pode aumentar o atrito e frustrar os utilizadores.

A solução correcta deve, no mínimo, ter em conta:

  • SegurançaAs palavras-passe, os códigos de acesso único (OTP) por SMS e outras tácticas são vulneráveis a ataques. As organizações precisam de pensar em preparar as suas operações para o futuro e proteger os clientes com métodos mais fortes.
  • Taxas de conclusãoCada passo no percurso de um cliente cria fricção. Pedir aos clientes que concluam uma verificação de segurança adicional pode causar desistências ou cancelamentos de subscrições se não for conveniente e fácil para eles.
  • Inclusão: Pedir aos seus clientes que sigam instruções ou utilizem vários dispositivos para autenticação pode fazer com que alguns utilizadores não consigam utilizar os seus serviços.

A solução moderna para as palavras-passe é a autenticação biométrica facial em linha. A autenticação biométrica ajuda as organizações a garantir que apenas os utilizadores legítimos acedem às suas contas online. Se os sistemas forem protegidos utilizando a tecnologia de autenticação facial do iProov, apenas o proprietário genuíno de cada conta - autenticado em tempo real - pode aceder. Além disso, é incrivelmente fácil e conveniente para os utilizadores utilizarem.

Como pode a biometria impedir a partilha de palavras-passe? 

A autenticação biométrica facial da iProov garante que cada utilizador em linha é a pessoa certa, uma pessoa real, e que está a autenticar-se neste preciso momento.

O iProov oferece duas tecnologias que podem ser utilizadas: 

  • Garantia de vida verifica se um utilizador é a pessoa certa e uma pessoa real (e não uma fotografia ou um vídeo mostrado a uma câmara).
  • Garantia de presença genuína verifica que um utilizador é a pessoa certa, uma pessoa real e que está a autenticar-se neste momento. Esta última garante uma segurança adicional contra ataques de injeção que utilizam meios sintéticos, como os deepfakes. 

A autenticação biométrica passiva do iProov foi concebida para ser simples, rápida e cómoda. Basta o utilizador olhar para o seu dispositivo e a autenticação está concluída. Não há instruções complexas a seguir e não é necessário qualquer movimento, o que significa que a experiência de verificação e autenticação do utilizador é fácil.

A autenticação biométrica iProov é...

  • Seguro: com a confiança das organizações mais preocupadas com a segurança do mundo, como o Departamento de Segurança Interna.
  • Sem esforço e cómodo: Tudo o que os utilizadores precisam de fazer é olhar para a câmara frontal do seu dispositivo, o que proporciona uma experiência de utilização óptima.
  • Inclusive: autenticação fácil, independentemente da capacidade cognitiva, idade ou etnia.
  • Acessível e utilizávelO método de autenticação correto tem de ser utilizável pela maior parte da população.

O que significa que...

  • Para os clientes: é dada prioridade à experiência do utilizador, minimizando a frustração do utilizador e as transacções abandonadas.
  • Para serviços de streaming: a autenticação biométrica pode ser utilizada para limitar a partilha de contas sem alienar os utilizadores com uma autenticação complicada e "bloqueadora".
  • Para outros sectores: a autenticação biométrica resolve os problemas comuns das palavras-passe: possibilidade de partilha, inconveniência, falta de segurança e má experiência do utilizador.

Como é que a vivacidade pode impedir a partilha de palavras-passe?

A vivacidade impede a partilha de palavras-passe porque utiliza a autenticação biométrica para verificar se um utilizador em linha é a pessoa certa e real. Sem a tecnologia de vivacidade, a autenticação pode ser falsificada por máscaras, fotografias e outros tipos de ameaças. Com a deteção da vivacidade, ninguém pode utilizar uma fotografia do seu rosto para aceder à sua conta, porque essa fotografia não passaria numa avaliação da vivacidade. No entanto, nem toda a vivacidade é igual - e é por isso que a tecnologia passiva do iProov é a chave do sucesso para evitar a partilha de palavras-passe.

Netflix, a repressão da partilha de palavras-passe e a biometria: um resumo

  • A iminente repressão das palavras-passe da Netflix é indicativa de um problema mais vasto: a possibilidade de partilha e a inadequação das palavras-passe.
  • A decisão da Netflix afectará diretamente as suas receitas e o seu crescimento. Noutros sectores, a vulnerabilidade das palavras-passe é uma questão de segurança nacional. 
  • A Netflix terá de ponderar cuidadosamente uma estratégia de autenticação que equilibre a segurança adicional com a máxima facilidade de utilização, simplicidade e conveniência para minimizar a fricção e a frustração do cliente. 
  • A autenticação biométrica é a solução perfeita e pode substituir ou ser utilizada em combinação com palavras-passe para proporcionar a segurança, a experiência do utilizador e a inclusão necessárias.
  • A deteção da vivacidade será uma parte importante da opção biométrica para evitar a falsificação utilizando imagens e vídeo.

Se pretender saber mais sobre como o iProov pode ser utilizado para substituir as palavras-passe e melhorar a segurança da autenticação na sua organização através da biometria, reserve sua demonstração hoje mesmo.

Deverá a Netflxi acabar com as palavras-passe e substituí-las por autenticação biométrica?