A indústria chegou a um ponto em que é necessário enfrentar um legado de 50 anos de computação - o problema de nome de usuário / senha. Nós temos vivido com este problema até agora, porque esse é o menor denominador comum. Todo mundo entende como ele funciona, no entanto, o problema não é dimensionado para atender às crescentes demandas da computação moderna.
Diversidade na Interação e Requisitos de Senhas
Como usuários, nós temos um grande número de sites que interagem com atividades que envolvem pagamentos de contas, music stores ou compartilhamento de fotos. Todos estes sites têm diferentes requisitos de senha - vários caracteres, palavras secretas, datas adicionais para lembrar - e assim, não é de admirar que muitos de nós têm desistido do processo, re-utilizando senhas em vários sites ou falta de frases simples. Além disso, a nossa principal ferramenta é cada vez mais o dispositivo móvel, com uma experiência ainda pior por parte do usuário em torno de senhas complexas.
O problema com a reutilização das senhas, portanto, torna-se um grande problema. Se uma pessoa usar a mesma credencial em vários sites, então, não importa quanto dinheiro e recursos a empresa investe em sua própria segurança da informação; isso seria apenas tão cômodo quanto os outros sites que compartilham a senha.
Este problema foi agravado pelo grande número de bancos de dados de senhas que foram invadidos ao longo dos últimos 18 meses - nesse contexto está o Yahoo, LinkedIn, Evernote e muitos outros que sofreram nas mãos de crackers. Na sequência, algumas pesquisas acadêmicas tem mostrado que mais de 76% das senhas utilizadas através destas grandes bases de dados, são as mesmas. Os crackers sabem disso e pode explorar essas senhas comuns, resultando em violações de dados para as empresas e o potencial de fraude de identidade para os consumidores.
Dispositivos Móveis e Fator Secundário de Autenticação
Phillip Dunkelberger - President & CEO, Nok Nok Labs ouviu um pouco de um feedback surreal sobre a situação, a partir dos contatos que fez. Sistemas de autenticação atuais pressupõem que o dispositivo móvel pode ser usado como um segundo fator (como vemos com Twitter / Dropbox / etc.). Mas o problema é que isso não reflete os casos de uso, vistos por sistemas suportados. O consumidor quer usar seu celular como um dispositivo primário, e há uma enorme necessidade de recursos nativos do dispositivo para tornar essa atividade bastante simples. Cada vez mais esta parece ser a biometria, ou seja, voz / reconhecimento facial e, com a próxima geração de smartphones, provavelmente, trazendo sensores de impressões digitais.
Outro desafio para as partes confiantes que o CEO ouve muitas vezes, é que eles construíram sofisticados motores de análise de fraude para transações baseadas na Web, mas estes são com base nos recursos oferecidos por PCs tradicionais. Os dispositivos móveis não oferecem a mesma capacidade, o que é outra razão pela qual a atual experiência com aplicativo móvel, como por exemplo, relacionada ao setor bancário, é muitas vezes insatisfatória.
Então, qual é a resposta? Há um grande número de tecnologias alternativas que existem no mercado, incluindo tokens de hardware, aplicativos para smartphones (autenticador), verificação de SMS, biometria e muito mais. Então, por que nós não olhamos de forma mais ampla para o uso dessas tecnologias? Nesse contexto, um dos maiores desafios para as empresas tem sido o mapeamento de sua autenticação, de forma precisa, através de uma população diversificada de usuários contra a tecnologia disponível no mercado.
Compartilhamento de Fatores Comuns, Abordagens Proprietárias e Investimentos em Novos Recursos
Se olharmos para as diferentes opções disponíveis para as empresas de hoje, elas compartilham muitos fatores comuns. Normalmente, eles oferecem abordagens proprietárias para resolver o enigma entre nome de usuário / senha. As empresas terão de considerar a sua população de usuários como uma entidade única e homogênea, se elas, realmente, quiserem implantar um sistema de autenticação forte, devido ao fato deles terem que investir em infra-estrutura, ferramentas de gestão de back-end, a distribuição do cliente e educação do usuário final.
Essa abordagem impede a inovação, pois torna-se muito dispendioso para as empresas a implantação de novas tecnologias para melhor antecipar as necessidades dos clientes. O que está faltando não é outra tecnologia de autenticação, é uma infra-estrutura comum para permitir que os sistemas suportados utilizem diferentes soluções com base no risco do negócio.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=1849&p=2