O que inicialmente se chamava transformação digital, e que ganhava espaço nos setores mais especializados, foi redefinido de forma abrupta nos últimos tempos. A massiva virtualidade fez com que todos os serviços e produtos tivessem uma correlação digital, o que estimulou empresas de todos os tamanhos e naturezas a revisar suas políticas de gerenciamento de identidade digital de seus clientes, para que permaneçam relevantes. Em um contexto em que os usuários exigem experiências de navegação confortáveis, suaves e imediatas, tendências emergentes como “login sem senha”, o uso de biometria, autenticação multifatorial e carteiras de identidade digital são exemplos claros de como será o futuro da indústria em curto prazo.
O desafio da autenticação
A identidade na esfera digital é um valor pessoal e privado e uma porta de entrada para um universo infinito de aplicativos e serviços. A autenticação é vital para garantir os pilares mais importantes para o cidadão digital do século 21: confiança, segurança e privacidade. Mas, para os desenvolvedores, enfrentar esse desafio complexo sem prejudicar a interação com os produtos, tornando-os difíceis e lentos, é, sem dúvida, uma ameaça constante.
Os malfeitores (hackers) que têm em vista organizações e consumidores aparecem de muitas formas, com esforços em pequena escala e altamente manuais ou em métodos de força bruta que coordenam equipes enormes de hackers com ataques sincronizados. Quanto mais lucrativo o retorno potencial, mais tempo e esforço estarão dispostos a investir. Essa relação custo-benefício define a necessidade de estratégias defensivas, em um momento em que, por exemplo, a proliferação de tais ameaças on-line, combinada com a tendência dos usuários de reutilizar senhas em seus aplicativos e sites, desafia as organizações a oferecer um bom produto que combina praticidade e segurança.
Cada possível ataque para uma provável violação de dados pode ter consequências de longo alcance: em média, hoje, 84% das violações são atribuídas a senhas comprometidas, mas o que não se pode ignorar em nenhum caso é o impacto que tem para a credibilidade e reputação da empresa, bem como para os processos internos que se encontram ameaçados.
Segurança e usabilidade
Por outro lado, a maneira como se consegue melhorar a força do mercado contra ataques também permite que as organizações se livrem de cargas pesadas que prejudicam o desempenho com os usuários.
Virando a página
Não há mais como fugir da realidade de que o paradigma aplicado desde a década de 1970 deve mudar. Não apenas é ineficiente contra os desafios atuais de segurança cibernética, mas também prejudica o alcance e aceitação do usuário. Se em algum momento o CIAM (Customer Identity Management) era um nicho e uma questão mal pensada, esse tempo já passou.
Felizmente, hoje existem maneiras práticas e precisas de saber se um usuário é quem diz ser. Além de exigir algo que o usuário sabe, como uma senha ou outro segredo compartilhado, é possível incorporar dinamicamente ao processo de login algo que o usuário sempre tem em mãos, como um dispositivo, ou algo que apenas o usuário pode fornecer fisicamente, ou seja, um fator biométrico. Um bom sistema de autenticação significa que quanto mais desafios forem superados, mais confiável será a identidade, e hoje temos uma oferta de métodos que podem se complementar para deixar o cenário atual para trás. Mas criar um sistema de identidade otimizado é mais do que adicionar etapas de verificação, e um equilíbrio adequado com a experiência do usuário é algo complexo de se conseguir.
Os métodos de verificação que foram desenvolvidos nos últimos anos ultrapassaram em absoluto o tradicional “nome de usuário e senha” e permitem que múltiplos sinais de risco sejam analisados para ajustar o processo de acordo com as condições de cada empresa em face de um cenário de ameaças em constante mudança, que está longe de desaparecer. Nesse sentido, pode-se dizer que existem ferramentas para avançar para um modelo “sem senha” (ou passwordless) que se replica em um número cada vez maior de plataformas e que só depende da capacidade de priorizar o CIAM pela primeira vez.
Na verdade, o futuro chegou, e precisamos agir com isso em mente para mudar nossa perspectiva e começar a usar metodologias de vários níveis para detectar ataques de forma proativa, em vez de reativa, dando um passo fundamental na transformação digital onde a segurança conduz todas as indústrias para o futuro, hoje.