Tópicos técnicos

O que é autenticação sem senha?

Ilustração de itens de TI com foco em uma lâmpada

Visão geral

A autenticação sem senha é o processo de verificação da identidade de alguém sem o uso da reivindicação típica (nome de usuário) e da senha. As ferramentas que injetam credenciais tradicionais em um prompt de login não são sem senha.

Os métodos de autenticação sem senha mais comuns são os biométricos, como impressão digital e reconhecimento facial, e os aplicativos fora de banda, que são comuns em smartphones. Esses aplicativos para smartphones geralmente exigem uma verificação de ID biométrica que combina vários fatores em um único processo de autenticação.

NetIQ potencializa seus negócios

OpenText™ A NetIQ™ oferece um conjunto abrangente de serviços de identidade e acesso, permitindo que os funcionários acessem com segurança os recursos de qualquer lugar, em qualquer dispositivo, em qualquer local e no momento certo. NetIQ também capacita as organizações a interagir com seus consumidores de forma eficaz e segura.

Leia o folheto

Por que a autenticação sem senha é popular?

Embora a promessa de autenticação sem senha substituindo as credenciais tradicionais esteja viva há mais de três décadas, a tecnologia disponível hoje a tornou realidade. Em 2022, o mercado sem senha era de US$ 15,6 bilhões, mas espera-se que cresça para mais de US$ 53 bilhões até 2030. Uma grande parte da adoção atual da tecnologia sem senha é possível graças aos smartphones.

Durante a última década, a conformidade com as exigências do governo foi a força motivadora para que as organizações adotassem tecnologias sem senha:

Governo -Os órgãos do governoe do setor público agora estão sujeitos a requisitos específicos de autenticação multifator. Esses requisitos começaram como recomendações, mas, com o passar dos anos, transformaram-se em políticas. As políticas foram implementadas como diretrizes gerais, mas evoluíram para mandatos específicos de dois fatores para acesso a documentos confidenciais ao longo do tempo.
Saúde -As violações no setor de saúdenos EUA e em todo o mundo causam mais sofrimento financeiro às organizações desse mercado do que qualquer outro, até mesmo o financeiro. As instituições governamentais responderam com requisitos específicos de autenticação sem senha e de dois fatores.
Serviços financeiros - Emboraas normas governamentais exijam a proteção das informações financeiras e pessoais privadas dos clientes, manter a confiança do consumidor é um fator ainda mais impactante para a proteção dos dados. Embora os serviços financeiros tenham sido um dos principais adotantes da autenticação multifatorial, as plataformas de smartphones impulsionaram ainda mais a adoção da verificação de identidade sem senha.

Verificação de identidade para a força de trabalho

Historicamente, o uso da tecnologia sem senha como parte da segurança da força de trabalho tem sido relegado a aplicativos e usuários especializados. Foi somente na última década que as quatro barreiras mais significativas foram eliminadas:

Hard tokens, leitores de impressão digital de nível empresarial e outros dispositivos biométricos têm sido muito caros para uso em toda a empresa.
O custo do registro era proibitivo para a adoção em massa, especialmente para escritórios remotos que eram pequenos demais para justificar o suporte de TI no local, bem como para funcionários remotos. Sem administração remota, os dispositivos exigiam toques físicos para a configuração.
A administração remota contínua dos dispositivos de autenticação era impossível. Os usuários remotos tinham que enviar seus dispositivos para realizar redefinições e reconfigurações.
As equipes de segurança, sua gerência e, principalmente, seus usuários não tinham confiança nas tecnologias sem senha. A recente proliferação de casos de uso em que os usuários sem senha se tornaram comuns gerou uma onda de modernização e planejamento da autenticação.

Além da evolução dos dispositivos, os casos de uso de autenticação e os requisitos relacionados a eles também mudaram, além das exigências governamentais.

Trabalho remoto

Mais do que nunca no passado, os trabalhadores de campo estão conectados e frequentemente acessam informações privadas usando plataformas móveis. Além dos típicos guerreiros das estradas, a adoção do teletrabalho teve um crescimento significativo nos últimos três anos. Embora o teletrabalho já estivesse experimentando um crescimento constante antes da pandemia, novas políticas de trabalho remoto ganharam ampla adoção em todos os setores.

Nuvem

Os dados privados estruturados e não estruturados são cada vez mais armazenados e acessados na nuvem em vez de no data center. Como o data center perdeu a massa crítica de serviços corporativos de hospedagem, o roteamento do tráfego remoto por meio do data center diminuiu drasticamente. Isso significa que as técnicas típicas de segurança de firewall estão se tornando irrelevantes.

Uso de dispositivos pessoais

Além de corroer o controle de segurança, o BYOD (bring-your-own-device, traga seu próprio dispositivo) continua a ganhar força. O acesso remoto a recursos hospedados na nuvem a partir de dispositivos BYOD muda a dependência rudimentar dos dispositivos gerenciados para a segurança baseada em identidade. Essa dependência se traduz em uma maior exposição a ataques de phishing e outros ataques de identidade que contornam a verificação de identidade.

Esse afastamento das redes gerenciadas, dos recursos digitais internos (serviços e dados não estruturados) e dos dispositivos significa que as equipes de segurança não podem mais depender deles como parte de sua estratégia. Em vez disso, o desenvolvimento da identidade exige uma estratégia verificada que seja altamente resistente a impostores. E, embora a adoção da autenticação multifatorial continue a crescer, a autenticação sem senha de fator único eleva o nível de segurança em relação ao nome de usuário e à senha, simplificando o processo de autenticação. Um funcionário desfruta da experiência rápida do reconhecimento facial, da impressão digital verificada ou de alguma experiência passiva. E, ao mesmo tempo, a organização aumentou sua proteção contra a vulnerabilidade mais proeminente e a técnica de violação mais frequente, que é o phishing.

Consumidores migrando para a ausência de senha

O principal facilitador sem senha é o smartphone. Embora seja verdade que esses dispositivos tenham uma grande capacidade de computação em um pacote tão pequeno, o fato de terem se tornado uma extensão de tantas pessoas é o que os torna um divisor de águas sem senha. As pessoas os utilizam para tudo, desde mensagens de texto até mídia social, compras on-line e serviços bancários. Elas tiram fotos em um piscar de olhos, procuram direções ou pesquisam respostas. O fato de os consumidores se vincularem a um dispositivo de computação portátil proporcionou uma mudança de paradigma de autenticação jamais vista:

A conectividade universal permite a verificação fora de banda da identidade de alguém durante a autenticação.
O poder de processamento portátil pode gerar sementes e chaves que podem funcionar como pinos de uso único.
Os métodos de autenticação biométrica e passiva avançarão com o avanço dos smartphones, permitindo que a verificação evolua e se torne mais sofisticada.

Os consumidores estão se tornando mais conscientes das ameaças que a autenticação tradicional representa para eles. As organizações reconhecem essa mudança e veem oportunidades de aprimorar seus serviços digitais.

Quão segura é a autenticação sem senha?

A equipe de violação de dados da Verizon identificou o spear phishing como a forma dominante de os criminosos roubarem credenciais. O spear phishing é iniciado quando o invasor envia um e-mail que parece ser de uma fonte confiável, como um banco, um colega ou alguma outra fonte que envia as vítimas para um site falso. Esse site exigirá autenticação, induzindo as vítimas a revelar suas credenciais, inserir números de cartão de crédito ou fornecer algum outro conjunto de informações privadas.

Uma variação desse ataque oferece um link que, quando clicado, instala malware nos computadores das vítimas.

A tecnologia sem senha é adequada para a proteção contra esses tipos de ataques. Para plataformas configuradas para eliminar senhas, nenhuma pode ser capturada por meio de entrada ou captura de pressionamento de teclas. Para plataformas que oferecem senhas como uma opção além da sem senha, ela pode ser reforçada com uma autenticação multifatorial sem senha, como algo que o usuário possui - como um smartphone - ou algo que ele é - biométrico.

Toda essa dependência dos smartphones traz suas vulnerabilidades para a frente e para o centro da discussão sobre segurança. Suponha que hackers e outros agentes mal-intencionados tenham acesso a esses dispositivos móveis. Há o risco de que eles consigam interceptar PINs, OTPs e aprovações push fora de banda, além de reconfigurar a biometria para corresponder a si mesmos. O roubo do cartão SIM também representa um risco de SMS/OTP. Mesmo que os usuários sejam cuidadosos, sua segurança pode ser violada se os invasores puderem manipular os provedores de serviços para que cancelem e transfiram informações cruciais de cartões SIM legítimos.

Embora esteja claro que não há como uma organização impedir todas as ameaças, é verdade que a simples mudança para um paradigma sem senha protege contra as ameaças mais comuns. Mesmo no caso da autenticação de fator único, o abandono das credenciais digitadas começa em um nível de segurança mais alto, mas é possível fazer mais. As organizações podem elevar seus níveis de segurança aumentando sua estratégia com a autenticação baseada em risco (RBA). A RBA tem um longo histórico comprovado de controle de quando são necessárias etapas adicionais para verificar a identidade de alguém. As organizações podem invocar uma autenticação de segundo fator em condições predefinidas, como:

O dispositivo já foi visto antes?
- Impressão digital de dispositivos
- Cookie do navegador
O usuário está localizado onde se espera que ele esteja?
- Serviço de geolocalização de IP
- Geofencing (GSM)
O usuário está se comportando como esperado?
- Análise de comportamento de usuários e entidades (UEBA)
Qual é o nível de risco das informações?

As organizações podem usar esse tipo de critério para determinar quantos níveis de verificação de identidade são necessários. Por exemplo, uma organização pode definir uma política que exija uma impressão digital para acessar a maioria de suas informações. Ainda assim, há um subconjunto mais sensível que exige autenticação multifatorial quando o risco medido é elevado de acordo com os critérios listados acima ou com a sensibilidade do recurso.

Como a autenticação sem senha pode diferenciar uma empresa?

A resposta apresentada na pergunta anterior lista as vantagens e as limitações de segurança que a autenticação sem senha pode oferecer a uma empresa. Em resumo, os métodos sem senha - como a biometria (por exemplo, impressão digital ou reconhecimento facial) ou por meio de algo que você possui, como um smartphone - oferecem uma segurança mais robusta do que os métodos tradicionais baseados em senha, especialmente contra spear phishing. Esta seção analisa alguns dos valores comerciais que a segurança adicional oferece.

Quando as organizações conseguem controlar melhor o risco inerente ao envolvimento com seus clientes digitais, elas conseguem se envolver de forma mais eficaz, permitindo que interações mais significativas ocorram em um conjunto mais abrangente de circunstâncias.

Assistência médica

Um provedor de serviços de saúde pode se envolver em um melhor atendimento remoto compartilhando informações de ePHI e instruções específicas de um médico. Embora a autenticação de dois fatores seja necessária, o paciente não precisa se lembrar de credenciais complicadas se ambas forem sem senha. O acesso sem senha também é mais simples de usar em dispositivos móveis sem teclado. O acesso simplificado e seguro pode se tornar um divisor de águas para pacientes com deficiência que se sentem frustrados com um esquema de autenticação complexo.

Finanças

Um gerente de portfólio financeiro compartilha informações altamente confidenciais com os clientes. As informações sobre investimentos e contas envolvem regularmente grandes quantias de dinheiro. Normalmente, esses tipos de portais exigem senhas complexas para verificação de identidade. A autenticação sem senha permite que essas organizações forneçam acesso rápido e seguro aos seus clientes, o que contribui muito para a satisfação do cliente.

Comércio eletrônico

Os serviços de comércio eletrônico são os pontos de ataque de spear phishing mais comuns. Esses ataques corroem a confiança do consumidor na realização de negócios eletronicamente. A autenticação sem senha permite que o varejo de comércio eletrônico minimize os efeitos da autenticação baseada em risco com métodos passivos quando usada para responder a ameaças de medidas. Mais do que em outros setores, o atrito inaceitável nas transações de varejo leva à perda de clientes, que gravitam em torno de varejistas com os quais é fácil fazer negócios. Uma das maneiras mais eficazes de evitar barreiras para novos clientes digitais é usar a autenticação sem senha para evitar senhas complexas ou processos de autenticação em várias etapas.

Educação

Universidades e outras organizações que protegem usuários que estão sempre em movimento - FIDO (Fast Identity Online) é um padrão que permite o uso de chaves físicas ou tokens baseados em padrões, que não devem ser confundidos com opções mais antigas, caras e proprietárias, para verificar a identidade de alguém. Esses métodos resistentes a phishing representam uma barreira notável a ser contornada pelos invasores, mantendo a privacidade de informações valiosas dos alunos. Alunos, funcionários e professores podem conectar seus pequenos dispositivos FIDO portáteis a computadores com uma porta Bluetooth. Ele pode fornecer acesso rápido a recursos protegidos ou fazer parte de uma configuração de autenticação multifatorial.

Os cenários de maior segurança e conveniência por meio da autenticação sem senha, que é o futuro da autenticação, são muito mais amplos do que esses poucos exemplos. A autenticação sem senha também oferece uma excelente base de segurança para a ampla adoção do logon único (SSO). O SSO oferece acesso contínuo a recursos protegidos com uma única instância de autenticação. Ainda mais do que as tecnologias sem senha, o SSO reduz ou elimina o atrito que os usuários teriam de outra forma. Como o SSO tem mais a ver com conveniência do que com segurança, algumas equipes de segurança são cautelosas quanto à ampla adoção, pois uma única autenticação pode permitir o acesso a todos os recursos digitais do usuário. A resistência do Passwordless aos ataques de violação mais comuns reduz significativamente esse risco, liberando a TI para configurar um ambiente que reduz enormemente as interrupções e os atrasos para seus usuários.

Recursos

NetIQ Advanced Authentication folha de dados

NetIQ Advanced Authentication para seu folheto comercial

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Data Lakehouse e análisesData Lakehouse e análises

BI, visualização e relatóriosBI, visualização e relatórios

eDiscovery e soluções jurídicaseDiscovery e soluções jurídicas

OpenText™ Aviator Search

Business Network CloudBusiness Network Cloud

Automação da cadeia de suprimentosAutomação da cadeia de suprimentos

Integração B2BIntegração B2B

Colaboração seguraColaboração segura

Rastreabilidade da cadeia de suprimentosRastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentosInsights sobre a cadeia de suprimentos

Aplicativos e serviços do setorAplicativos e serviços do setor

OpenText™ Business Network Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Capture Processamento inteligente de documentosCapture Processamento inteligente de documentos

Process AutomationProcess Automation

Integrações de negóciosIntegrações de negócios

Information ArchivingInformation Archiving

Soluções para o setorSoluções para o setor

Governança da informaçãoGovernança da informação

OpenText™ Content Aviator

Cybersecurity CloudCybersecurity Cloud

Segurança de aplicativosSegurança de aplicativos

Privacidade e proteção de dadosPrivacidade e proteção de dados

Threat Detecção e respostaThreat Detecção e resposta

Identity and Access ManagementIdentity and Access Management

Investigações e perícias digitaisInvestigações e perícias digitais

Threat IntelligenceThreat Intelligence

OpenText™ Cybersecurity Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

Functional TestingFunctional Testing

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Engenharia de desempenhoEngenharia de desempenho

OpenText™ DevOps Aviator

Experience CloudExperience Cloud

Experiências na Web e em dispositivos móveisExperiências na Web e em dispositivos móveis

Contact Center AnalyticsContact Center Analytics

Mensagens e FaxMensagens e Fax

Cliente CommunicationsCliente Communications

Gerenciamento de ativos digitaisGerenciamento de ativos digitais

Jornada do cliente e dadosJornada do cliente e dados

OpenText™ Experience Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

Descoberta e CMDBDescoberta e CMDB

AIOps e observabilidadeAIOps e observabilidade

Gerenciamento de redeGerenciamento de rede

Cloud Management, FinOps e GreenOpsCloud Management, FinOps e GreenOps

AutomaçãoAutomação

OpenText™ IT Operations Aviator

OpenText™ ThrustOpenText™ Thrust

OpenText™ Thrust feixeOpenText™ Thrust feixe

OpenText™ Aviator Thrust

PortfolioPortfolio

Proteção de dadosProteção de dados

Gerenciamento de endpoints e segurança móvel Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dadosArquivamento, eDiscovery e segurança de dados

Conectividade e gerenciamento de documentosConectividade e gerenciamento de documentos

Informações reimaginadasInformações reimaginadas

Artificial IntelligenceArtificial Intelligence

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Serviços de sucesso do clienteServiços de sucesso do cliente

Serviços de consultoria e estratégiaServiços de consultoria e estratégia

Serviços de consultoriaServiços de consultoria

Serviços de aprendizadoServiços de aprendizado

Serviços gerenciadosServiços gerenciados

Encontre um parceiro OpenTextEncontre um parceiro OpenText

Encontre uma solução de parceiroEncontre uma solução de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

Em destaque

Analytics Cloud

Data Lakehouse e análises

BI, visualização e relatórios

eDiscovery e soluções jurídicas

Business Network Cloud

Automação da cadeia de suprimentos

Integração B2B

Colaboração segura

Rastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentos

Aplicativos e serviços do setor

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Capture Processamento inteligente de documentos

Process Automation

Integrações de negócios

Information Archiving

Soluções para o setor

Governança da informação

Cybersecurity Cloud

Segurança de aplicativos

Privacidade e proteção de dados

Threat Detecção e resposta

Identity and Access Management

Investigações e perícias digitais

Threat Intelligence

DevOps Cloud

Plataforma DevOps

Functional Testing

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Engenharia de desempenho

Experience Cloud

Experiências na Web e em dispositivos móveis

Contact Center Analytics

Mensagens e Fax

Cliente Communications

Gerenciamento de ativos digitais

Jornada do cliente e dados

IT Operations Cloud

Service Management

Descoberta e CMDB

AIOps e observabilidade

Gerenciamento de rede

Cloud Management, FinOps e GreenOps

Automação

OpenText™ Thrust

OpenText™ Thrust feixe

Portfolio

Proteção de dados

Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dados

Conectividade e gerenciamento de documentos

Informações reimaginadas

Artificial Intelligence

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Serviços de sucesso do cliente

Serviços de consultoria e estratégia

Serviços de consultoria

Serviços de aprendizado

Serviços gerenciados

Encontre um parceiro OpenText

Encontre uma solução de parceiro

Crescer como parceiro

Biblioteca de ativos

Blogs

Eventos

Comunidades

Histórias de clientes

OpenText Navegador