No universo de Gestão de Identidade e Acessos existe sempre um desafio para as empresas em equilibrar segurança com a experiência do usuário, principalmente quando se trata de usuários finais ou clientes, dentro da disciplina da CIAM. A tecnologia de Passwordless veio para ajudar nas duas frentes, segurança e usabilidade, e está em grande destaque quando falamos das tendências mais fortes no mundo de IAM.
Neste artigo iremos ver rapidamente o conceito de passwordless e explorar suas vantagens do ponto de vista de segurança, experiência do usuário e implantação, com um foco principal no cliente(CIAM).
Antes de entrar nos temas de segurança e usabilidade da solução de passwordless, vamos brevemente definir do que se trata:
Em uma tradução simples para o português passwordless seria “sem senha” e a ideia por trás deste conceito é exatamente essa: um método de autenticação ou acesso a contas que não requer o uso tradicional de senhas. No lugar das senhas, são utilizados outros meios, como autenticação biométrica (impressões digitais ou reconhecimento facial), chaves de segurança físicas, códigos enviados por SMS ou e-mail, entre outras opções.
Existem diferentes formas de implementação de passwordless para os mais variados sistemas e hoje as principais soluções de IAM do mercado oferecem um conjunto de funcionalidades prontas para esse processo. Um modelo que está tendo destaque entre as principais empresas de tecnologia do mundo é através dos protocolos da FIDO Alliance, com a ideia de autenticação passkey.
Usabilidade
De acordo com uma pesquisa da University of Oxford cerca de um terço das compras online são abandonadas no checkout porque os consumidores não conseguem lembrar suas senhas. Além disso, processos de reset de senha são cansativos e muitas vezes não funcionam do modo correto.
Não é de hoje que as senhas são uma dificuldade na experiência do usuário, mas este problema tem aumentado devido a necessidades de senhas complexas por segurança e também ao número de diferentes plataformas que temos contas e credenciais, sejam e-commerces, soluções financeiras, redes sociais, serviços, etc.
A solução de passwordless simplesmente remove as senhas deste fluxo, ou seja o problema em questão. Desse modo, quando o usuário for se autenticar, ele apenas precisa lembrar do seu nome de usuário ou endereço de e-mail e poderá acessar sem maiores dificuldades.
Segurança
As senhas são o elo mais fraco da cibersegurança, pois podem ser facilmente roubadas ou quebradas por meio de vários métodos, como ataques de força bruta ou phishing. Uma outra pesquisa da Verizon de 2020 traz que 81% das violações de dados envolvem senhas fracas ou roubadas.
Um outro problema comum em segurança é que usuários frequentemente reutilizam senhas em várias contas, o que pode levar a um efeito dominó se uma senha for comprometida.
Passwordless remove totalmente essas vulnerabilidades, já que não há senhas para explorar e cada conta tem o seu próprio método de autenticação exclusivo.
Eliminando a necessidade de senhas, também evitamos ataques de phishing e suas diversas variantes, que têm sido uma ameaça crescente ao longo dos anos, se tornaram mais sofisticadas e visando não apenas indivíduos, mas também empresas e organizações.
Como todas as soluções existentes, passwordless não é a prova de falhas, principalmente quando o fator de autenticação utilizado traz alguma possibilidade de interceptação ou quebra, como uso de SMS e os problemas com SIM-swapping. Porém, para deixar essa funcionalidade ainda mais segura e sem interferir na usabilidade, existem algumas tecnologias que vêm sendo utilizadas, como explicado abaixo.
Passwordless com autenticação comportamental
A solução de autenticação comportamental envolve a análise, muitas vezes através de machine learning, de padrões de comportamento exclusivos do usuário para verificar sua identidade.
Essa abordagem avalia a forma como o usuário interage com dispositivos e sistemas(velocidade de digitação ou estilo de navegação), sua localidade, dispositivo, horário de acesso e outros traços comportamentais. Esses dados são coletados e comparados com perfis previamente estabelecidos para determinar a legitimidade da tentativa de acesso.
Com esse mecanismo implantado juntamente com passwordless, temos ainda mais segurança e uma ótima experiência garantida para o usuário. Vamos explorar dois exemplos:
- O usuário acessa uma solução onde não precisa entrar com nenhuma senha, apenas sua biometria ou um código recebido por WhatsApp. Por trás das cortinas, a plataforma avalia a localização, horário e outros fatores comportamentais deste usuário e verifica que está tudo de acordo com seu histórico passado, permitindo que o usuário continue seu acesso de forma simples e segura.
- O mesmo usuário citado acima, em um outro momento, acessa utilizando passwordless, mas desta vez a solução de autenticação comportamental detecta alguma anomalia. Para verificar a identidade do usuário, a solução aplica mais um fator de autenticação (2FA) que irá validar que o usuário é ele mesmo ou bloquear seu acesso. Desse modo, a usabilidade foi levemente prejudicada com um 2FA, mas com o objetivo de garantir a segurança do acesso.
Conclusão
Vimos aqui os principais benefícios da solução de passwordless para clientes dentro do escopo de segurança e usabilidade e também outras tecnologias que vem avançando para apoiar essa solução e aumentar ainda mais a segurança sem afetar a experiência do usuário.
Embora a autenticação passwordless ofereça essas vantagens destacadas, principalmente quando aliada a autenticação comportamental, é importante observar que nenhum método de autenticação é totalmente infalível. A implementação dessas soluções deve ser projetada cuidadosamente, levando em consideração o caso de uso específico e a postura geral de segurança da empresa e de seus sistemas.