12 de fevereiro de 2023

Tem de iniciar sessão numa das suas contas online - está na altura de provar que é quem diz ser. A um nível superior, encontrará uma de duas opções:

  1. Autenticação baseada no conhecimento. Normalmente, isto significa uma palavra-passe. É uma opção familiar, mas muitas vezes causa problemas tanto para os utilizadores como para as organizações. Por exemplo, nas últimas 24 horas , 32% dos utilizadores tiveram de pedir um lembrete de palavra-passe. As palavras-passe esquecidas são um grande problema que causa custos administrativos significativos e perda de negócios.
  2. Autenticação sem palavra-passe. Pode ser um código de acesso único (OTP) por SMS, autenticação por impressão digital ou qualquer outro método de autenticação que não exija uma palavra-passe. Com a biometria facial do iProov, por exemplo, um utilizador pode autenticar-se simplesmente olhando para o seu dispositivo para obter acesso à sua conta.

Nos últimos anos, as organizações afastaram-se das palavras-passe e optaram por opções sem palavras-passe, porque a autenticação baseada em palavras-passe é geralmente complicada, dispendiosa e insegura.

Existem muitas opções diferentes sem palavra-passe, mas nem todas são iguais - algumas opções proporcionam uma melhor experiência de utilizador, segurança e inclusão do que outras.

[lwptoc]

O que é a autenticação sem palavra-passe?

A autenticação sem palavra-passe é o processo de autenticação do acesso do utilizador a uma conta, software ou serviço em linha sem exigir uma palavra-passe baseada no conhecimento.

Podem ser utilizadas várias tecnologias para permitir o acesso seguro dos utilizadores sem senhas, tais como:

  • Autenticação biométrica (ou seja, rosto, voz ou impressão digital)
  • Autenticação SMS OTP
  • Autenticação de ligação única por correio eletrónico
  • Uma aplicação de autenticação
  • Autenticação baseada em hardware (ou seja, Yubikey)
  • Verificação de videochamadas

Porque é que as organizações escolhem a autenticação sem palavra-passe?

A autenticação sem palavra-passe é benéfica porque pode muitas vezes reforçar a segurança. As vulnerabilidades das palavras-passe são bem conhecidas e podem ser violadas de várias formas - além disso, as práticas de gestão de palavras-passe são frequentemente arriscadas.

Assim, as opções sem palavra-passe são concebidas para reforçar a segurança e reduzir o número de formas de ataque aos sistemas. Uma boa solução sem palavra-passe também pode tornar o processo de autenticação mais conveniente para os utilizadores em comparação com as palavras-passe, porque as palavras-passe são facilmente perdidas, esquecidas e violadas, levando a longos processos de recuperação.

Atualmente, é muito comum as organizações optarem por implementar a autenticação de dois ou vários factores para estabelecer uma maior confiança online em condições hostis e limitar a fraude através de uma autenticação mais forte. Isto significa que as organizações não precisam de eliminar totalmente as palavras-passe se não o desejarem - em vez disso, podem combiná-las com outro fator, como a verificação biométrica facial.

Mas lembre-se: os benefícios específicos de passar a não ter palavra-passe dependerão da solução que adotar. É importante encontrar um equilíbrio entre a segurança e a experiência do utilizador.

O passado e o futuro da autenticação sem palavra-passe

Nos primórdios da Internet, as organizações baseavam-se exclusivamente numa ID de utilizador e numa palavra-passe para verificar um cliente. À medida que mais dinheiro começou a mudar de mãos online, os burlões começaram a tirar partido disso.

Os autores das fraudes foram bem sucedidos: surpreendentemente, 80% das violações relacionadas com a pirataria informática envolvem credenciais de palavra-passe comprometidas e fracas. As palavras-passe enfraquecem intrinsecamente a integridade do processo de segurança e expõem o indivíduo ou o serviço a riscos. Isto causa riscos de segurança em toda a sociedade, tanto para os utilizadores como para as organizações.

Ao longo do caminho, os ataques que os maus actores utilizam para minar as palavras-passe tornaram-se mais sofisticados e escaláveis. Estes incluem, mas não estão limitados a:

  • Phishing
  • Registo de teclas
  • Ataques de força bruta
  • Ataques Man-in-the-middle.

Assim, surgiram novos métodos de autenticação de clientes para contrariar as desvantagens das palavras-passe. Alguns permaneceram, outros desapareceram. Um dos métodos que se manteve foi a autenticação biométrica - sobretudo porque pode oferecer acesso seguro em segundos, sem que o utilizador tenha de se lembrar de nada.

Em 2023, a iProov prevê que a biometria combinada com o dispositivo ultrapassará a palavra-passe combinada com o dispositivo como solução de autenticação de dois factores - o que significa que poderemos finalmente assistir ao fim das palavras-passe, mesmo como parte de soluções de autenticação de dois ou vários factores.

Como é que a autenticação sem palavra-passe funciona?

A autenticação sem palavra-passe divide-se geralmente em duas categorias:

1. Baseado na posse de bola

Os factores baseados na posse, como as OTP, são por vezes referidos como "algo que se possui". Tentam autenticar os utilizadores através da posse de um dispositivo. Por exemplo, se conseguir obter e colar uma OTP, isso deverá provar que é a pessoa que possui o dispositivo associado a esse número de telefone e ao qual tem acesso exclusivo - provando assim a sua identidade.

Um problema da autenticação baseada na posse é o facto de confiar nos dispositivos em vez das pessoas. Os códigos são partilháveis e passíveis de phishing, o que significa que não são uma representação clara da identidade de alguém.

2. Baseado na coerência:

Os factores baseados na inerência - ou seja, a biometria - são por vezes referidos como "algo que se é". Tentam autenticar os utilizadores através da afirmação de uma caraterística biológica/física. Por exemplo, digitalizar o rosto utilizando a câmara virada para o utilizador de um dispositivo ou pressionar o dedo contra o teclado de digitalização de impressões digitais de um dispositivo.

O terceiro fator de autenticação é baseado no conhecimento. A autenticação baseada no conhecimento significa normalmente palavras-passe, mas também pode significar respostas secretas, como o seu primeiro animal de estimação ou o nome de solteira da sua mãe (embora as respostas secretas sejam utilizadas com menos frequência atualmente).

Em termos simples, a autenticação sem palavra-passe funciona através da autenticação dos utilizadores utilizando um fator baseado na posse ou na herança - como uma OTP ou uma leitura biométrica facial - em vez de uma palavra-passe.

O preenchimento automático de palavras-passe não é uma autenticação sem palavra-passe. Nem utilizar um código de desbloqueio de telemóvel para preencher um campo de palavra-passe. Ambas as opções dependem de uma palavra-passe subjacente. A autenticação sem palavra-passe funciona contornando a necessidade de uma palavra-passe através da utilização de uma tecnologia completamente diferente.

Clique aqui para obter uma compreensão mais aprofundada dos diferentes métodos de autenticação disponíveis.

Porquê escolher a biometria facial para a autenticação sem palavra-passe?

A simplicidade da biometria facial é uma das suas grandes vantagens. É amplamente acessível, não há nenhuma palavra-passe para memorizar e não há nenhum dispositivo ou token de acesso para transportar. Isto faz da verificação biométrica facial um dos métodos de segurança mais inclusivos e acessíveis que existem - se for implementado corretamente.

Embora outros métodos possam oferecer vantagens em relação à palavra-passe tradicional, a segurança fica normalmente aquém de uma solução biométrica sofisticada. As OTPs, por exemplo, são muitas vezes assustadoramente fáceis de falsificar. Leia mais sobre os riscos das OTPs aqui.

Assim, vamos considerar algumas das áreas em que a autenticação biométrica sem palavra-passe pode fazer uma verdadeira diferença:

  • Segurança: De um modo geral, a autenticação sem palavra-passe com biometria deve ser mais segura do que um início de sessão com palavra-passe. As palavras-passe são difíceis de memorizar, pelo que as pessoas tendem a utilizar a mesma palavra-passe em vários sítios. Isto significa que, se uma palavra-passe for adivinhada ou violada, um hacker pode obter acesso a uma série de contas de utilizador utilizando ataques de preenchimento de credenciais. Além disso, as pessoas escolhem frequentemente palavras-passe simples que são fáceis de decifrar. É por isso que a maioria das violações de segurança envolve palavras-passe. 63% dos consumidores já tiveram de alterar uma palavra-passe devido a violações de segurança. No entanto, não se pode perder o rosto ou ser roubado.
  • Melhoria da experiência e da comodidade do utilizador: Com a autenticação sem palavra-passe, o utilizador geralmente não tem de se lembrar de nada. No caso do iProov, nem sequer tem de fazer nada: basta olhar para a câmara virada para o utilizador no seu dispositivo. Isto torna a autenticação excecionalmente fácil para o utilizador final.
  • Redução de custos: A biometria significa menos despesas gerais com a reposição de palavras-passe e menos tempo gasto a lembrar os funcionários de reporem as suas palavras-passe ou de utilizarem palavras-passe seguras. Os pedidos de ajuda relativos a palavras-passe são um enorme problema em todas as indústrias - várias grandes organizações sediadas nos EUA, em diferentes sectores verticais, atribuem mais de 1 milhão de dólares anualmente a custos de apoio relacionados com palavras-passe. Estas requerem uma manutenção constante por parte das TI. A remoção da palavra-passe elimina estes custos, uma vez que se baseia em métodos de autenticação mais eficientes e seguros.

Benefícios da implementação da autenticação sem palavra-passe utilizando a biometria facial iProov

Da mesma forma que alguns métodos sem password são melhores do que outros, algumas soluções biométricas também são melhores do que outras.

Há uma série de propostas únicas que elevam a tecnologia iProov acima de outras como uma solução sem palavra-passe:

  • Taxas de conclusão líderes no sector: as taxas de conclusão do iProov são normalmente > 98%. Se compararmos esta estatística com o facto de que mais de 50% dos utilizadores abandonaram as compras online porque se esqueceram da sua palavra-passe e a recuperação da mesma demorou muito tempo, é fácil compreender porque é que as organizações se afastam das palavras-passe.
  • Segurança baseada na nuvem. A segurança baseada na nuvem do iProov significa que a nossa autenticação não é afetada por quaisquer vulnerabilidades no dispositivo utilizado. Isso também significa que nossa segurança é opaca para o invasor e muito mais difícil de fazer engenharia reversa. Finalmente, isto permite que o iProov forneça autenticação fora de banda. Algumas opções de autenticação sem palavra-passe estão ligadas ao dispositivo - por isso, se esse dispositivo for comprometido, uma OTP ou uma aplicação de autenticação será inútil porque o atacante tem acesso aos códigos no dispositivo. É por esta razão que o Presidente Biden sublinhou a importância da arquitetura baseada na nuvem.
  • Experiência verdadeiramente passiva: A experiência do utilizador do iProov é simples, rápida e passiva - tudo o que o utilizador precisa de fazer é olhar para a câmara do dispositivo virada para o utilizador.
  • Escalabilidade e sucesso comprovado: O iProov demonstrou a sua capacidade de escalar em ambientes reais com grandes implementações em todo o mundo - com mais de 1 milhão de verificações por dia durante os períodos de pico. O iProov é um fornecedor comprovado, já ativamente utilizado e confiado por organizações de topo como o Departamento de Segurança Interna dos EUA e a UBS.
  • iSOC: O Centro de Operações de Segurança do iProov monitoriza as operações diárias e identifica ataques novos e em evolução. As nossas defesas e algoritmos são actualizados continuamente em resposta a novas ameaças, o que torna a vida muito mais difícil para os atacantes. Em última análise, isto significa que aprendemos mais sobre os atacantes do que eles sobre nós.

Leia todas as vantagens da autenticação biométrica facial iProov em pormenor aqui.

Porque é que a vivacidade é importante para a autenticação sem palavra-passe?

A tecnologia de vivacidade é uma componente da tecnologia biométrica que distingue entre objectos inanimados e um ser humano.

A tecnologia de vivacidade é uma consideração fundamental para a escolha de uma solução de autenticação biométrica sem palavra-passe. Quando se está a considerar o tipo de tecnologia de vivacidade a utilizar, tem de se pensar no perfil da ameaça. Até que ponto é que o atacante se vai esforçar para entrar no seu sistema? Quão importante é estabelecer que um utilizador em linha é uma pessoa real e não uma falsificação? E qual o valor das informações a que estão a aceder? Diferentes casos de utilização exigem diferentes níveis de garantia - razão pela qual algumas organizações optam pela autenticação por etapas.

Em última análise, nem toda a vivacidade é criada de forma igual. Existe um espetro de tecnologias de vivacidade. Algumas delas são muito baratas e rápidas. Outras são muito mais substanciais e resistentes aos métodos dos atacantes, podendo detetar até os atacantes mais determinados. Estas últimas podem proporcionar uma segurança considerável às organizações e aos seus utilizadores.

O iProov oferece soluções que abrangem casos de uso de baixo a alto risco. Mas quando uma transação é de missão crítica, apenas o iProov Dynamic Liveness (GPA) pode garantir que o utilizador é a pessoa certa, uma pessoa real, e que está a autenticar-se em tempo real. Isso é vital na proteção contra ataques altamente escalonáveis injetados digitalmente. Utilizando a tecnologia patenteada Flashmark™, é criado um código biométrico único que não pode ser replicado.

Saiba mais sobre o Dynamic Liveness aqui.

Biometria para autenticação sem palavra-passe: Um resumo

  • Os métodos de autenticação sem palavra-passe foram desenvolvidos para combater as ineficiências, as inseguranças e os inconvenientes associados às palavras-passe.
  • A autenticação sem palavra-passe divide-se geralmente em duas categorias: baseada na posse (como as OTP) e baseada na herança (como a biometria).
  • Os métodos de autenticação sem palavra-passe devem ser geralmente mais seguros e convenientes do que as opções baseadas em palavra-passe. Mas existe uma hierarquia entre as opções disponíveis: o iProov defende a biometria facial como o método que maximiza a conveniência, a inclusão e a segurança.
  • A autenticação biométrica facial do iProov está a ser utilizada em grande escala pelas organizações mais preocupadas com a segurança do mundo para fornecer uma solução sem palavra-passe que melhora simultaneamente a segurança e a experiência do utilizador.

Se estiver interessado em saber mais sobre a implementação da tecnologia do iProov para fornecer uma autenticação sem palavras-passe segura e sem falhas, solicite uma demonstração aqui.

O que é a autenticação sem palavra-passe? Como funciona a autenticação sem palavra-passe? Utilizando a biometria. A imagem é a de um homem frustrado por se ter esquecido da palavra-passe do seu telemóvel