Obviamente, senhas por si só não são suficientes para proteger os ativos, redes, aplicativos e dados da empresa. Segundo analistas da Verizon, em 2017, 81% dos vazamentos de dados em todo o mundo foram causados por uso indevido de credenciais, senhas roubadas ou fracas. O número de vazamentos junto com os custos das empresas e as conseqüências dessas violações está aumentando anualmente. Para mitigar esses riscos, a empresa não deve, em caso algum, esquecer de garantir a segurança de seus dados.
A autenticação multifator ainda é um elemento indispensável no ambiente digital atual. A taxa de crescimento anual total do mercado de tokens de hardware é de 8%. A autenticação ajuda a aumentar a segurança combinando um ou mais "fatores", ajudando a identificar a pessoa que está solicitando acesso e a verificar se ele é exatamente quem ele afirma ser. Esses fatores incluem o que você possui (um cartão inteligente ou identificador móvel armazenado em um smartphone ou outro dispositivo); o que você sabe (por exemplo, PIN) e algo que você é (dados biométricos).
Um número crescente de empresas está se esforçando para garantir a conformidade regulamentar, e a autenticação forte com um log de eventos está se tornando um requisito bastante urgente. Dois exemplos impressionantes são as regras da União Européia em relação à diretiva de pagamento PSD2 para instituições financeiras e os requisitos de confidencialidade do Regulamento Geral de Proteção de Dados (GDPR) para os cidadãos. No entanto, esses requisitos se aplicam não apenas às empresas da UE, mas também a muitas organizações de outras partes do mundo. A maioria das empresas será afetada pelo RGPD, bem como pelas iniciativas governamentais em seus países, como o HIPAA para assistência médica nos EUA.
Um dos métodos confiáveis para implantar a autenticação multifatorial para funcionários é o uso de um token de hardware. Geralmente, é um dispositivo portátil pequeno que calcula uma sequência de números válidos por um período limitado e usados como uma senha de uso único (OTP). O usuário digita esse código (algo que ele possui) mais um código PIN (algo que ele conhece) para confirmar sua identidade para obter acesso. De fato, esse valor é comparado com o valor calculado na plataforma de autenticação interna do servidor, usando as mesmas técnicas e dados de origem, incluindo contadores de horário e evento, chaves de autenticação e algoritmos. Se o OTP corresponder ao valor recebido, o usuário obterá acesso e esse evento será registrado no log de auditoria da plataforma.
Os tokens de hardware existem há mais de uma década e ainda são populares em muitas organizações. Os funcionários entendem como usá-los e os próprios tokens não falham por um longo tempo. Além disso, os tokens já foram além do fator de forma padrão na forma de um chaveiro. Hoje existem dispositivos que cabem em uma carteira. Eles são duráveis o suficiente para operar, e mesmo pessoas com deficiência visual podem usá-los.
O escopo da aplicação de tokens de hardware pode ser completamente diferente:
- Autenticação para acesso a trabalhos, aplicativos em nuvem, acesso remoto a recursos;
- Realização de transações financeiras, atualização de dados, execução de ordens;
- Criptografia de assinaturas, discos rígidos, email, etc.
Nem todos os requisitos de autenticação são os mesmos para as empresas, e muitas organizações estão procurando um "compromisso" entre diferentes tipos de autenticadores. Para a conveniência dos negócios, existem muitos tipos diferentes de tokens no mercado hoje. Entre eles estão:
- Geradores de senha descartáveis. Os tokens OTP geram uma senha aleatória que não pode ser reutilizada. O uso desses dispositivos pode fazer parte de uma estratégia de conformidade com PSD2 e GDPR.
- Fichas BlueTooth. Esses dispositivos enviam um código seguro exclusivo via Bluetooth e NFC, para facilidade de uso e segurança. Ajuda a atender aos requisitos de PSD2, GDPR e FIPS 140.
- Tokens USB inteligentes. Eles suportam todas as funções de um cartão inteligente com base em uma infra-estrutura de chave pública (PKI), sem a necessidade de usar leitores de cartão. Garanta a conformidade com o FIPS 140.
Os dispositivos modernos oferecidos no mercado hoje também têm várias vantagens:
- Segurança Os dispositivos são autônomos e resistentes à quebra; eles suportam várias variantes de padrões de segurança, como 3DES, OATH e FIDO.
- Flexibilidade. Hoje, existem muitos fatores de forma do token. Eles são fáceis de usar (com o clique de um botão do mouse) e sua vida útil é bastante longa.
- Complexidade Geralmente, um ecossistema completo de tokens é fornecido junto com a infraestrutura para fornecer suporte eficaz.
- Conformidade com os requisitos. Muitas organizações em todo o mundo exigem autenticação forte para fornecer acesso seguro e proteger informações confidenciais. O uso de tokens de hardware ajudará a garantir a conformidade com requisitos regulatórios complexos.
No ambiente dinâmico de hoje, para confiar nos usuários que apresentam seus dados pessoais e gerenciar efetivamente o acesso aos recursos, é necessária uma solução abrangente para identificação pessoal, cuja base é uma autenticação forte. A introdução de tais soluções aumentará a confiabilidade da identificação do usuário e fornecerá proteção eficaz para a empresa contra ameaças atuais e futuras.
Olivier Firion, Diretor Global de Marketing de Soluções, IAM Solutions HID Global