Nemulţumirea faţă de parole e generală. Directorii de securitate cibernetică trăiesc coșmarul angajaților care își lasă listele de parole pe birou sau le lipesc pe computere pe bilețele post-it, iar pentru salariați inconvenientul este că introducerea mai multor parole pentru a avea acces la diverse dispozitive și resurse. Parolele au devenit pentru companii o sursă constantă de risc și de costuri, motiv pentru care tehnologiile de autentificare fără parolă câştigă rapid teren, informează CNBC.

Un sondaj recent realizat de Wakefield Research pe un eșantion de 200 de directori de securitate (CISO), sponsorizat de furnizorul de soluții de securitate Portnox, a arătat că o mare majoritate (92%) dintre liderii din domeniul securității au declarat că organizațiile lor au implementat sau intenționează să implementeze autentificarea fără parolă. Procentul este în creștere față de 70% în 2024. CISO au menționat îmbunătățirea productivității angajaților și o experiență mai bună a utilizatorilor ca principale beneficii.

Autentificarea fără parolă verifică identitatea utilizatorului fără a necesita parole tradiționale, folosind metode alternative precum tokenuri hardware, date biometrice sau notificări push pe telefon. Aceasta oferă beneficii precum securitate sporită și o experiență de utilizare îmbunătățită.

Furnizorul de servicii de formare Universal Technical Institute a început să utilizeze o platformă fără parolă de la Microsoft, „iar pe măsură ce extindem adoptarea, beneficiile apar rapid: mai puține resetări de parole, mai puține tichete la departamentul de suport și un început de zi mai rapid”, a declarat Adrienne DeTray, vicepreședinte senior și CIO al companiei.

Citește și: Un nou tip de fraudă pe rețelele sociale. Avertismentul DNSC

„Impactul mai mare este cultural”, a spus DeTray. „Arată că suntem serioși în privința faptului că tehnologia trebuie să se simtă din nou mai ușoară și mai umană. De-a lungul anilor, am adăugat atât de multe sisteme și autentificări încât greutatea tehnologiei a devenit parte din muncă. Aceasta este una dintre măsurile care ajută la eliminarea sarcinilor administrative și face ecosistemul să se simtă mai fluid și mai conectat.”

Nu este vorba doar de securitate, a spus DeTray, ci și de experiența utilizatorului. „Fiecare resetare de parolă sau blocare încetinește oamenii și le afectează concentrarea”, a spus ea. „Autentificarea fără parolă elimină această fricțiune și le dă oamenilor timp înapoi. Este parte a unui ecosistem conectat în care securitatea și ușurința în utilizare merg mână în mână.”

Autentificarea multi-factor își pierde statutul de „standard de aur” al securității cibernetice

R Systems International, un furnizor de servicii de inginerie digitală, se află în mijlocul unei tranziții graduale către un mediu fără parole, a spus CTO-ul Srikara Rao. „Pentru noi, nu este vorba de a urmări o tendință, ci de a răspunde direct faptului că standardul nostru de aur anterior, autentificarea multi-factor (MFA), începe să-și arate limitele”, a spus Rao. „Peisajul amenințărilor a evoluat dincolo de ceea ce MFA tradițional poate gestiona.”

Decizia R Systems este determinată atât de factori de securitate, cât și de factori de eficiență operațională. „Atacurile bazate pe credențiale rămân principalul vector de amenințare, iar creșterea semnificativă a tentativelor de phishing și câteva incidente evitate în ultimul moment subliniază urgența acțiunii”, a spus Rao. „Dorim să promovăm soluții rezistente la phishing în organizația noastră.”

Citește și: Apeluri false în numele unor instituţii sau autorităţi: DNSC avertizează asupra unei tentative de fraudă pe WhatsApp

Din punct de vedere operațional, resetările de parolă au devenit destul de costisitoare, a spus Rao. Ele implică costuri directe de muncă și costuri indirecte, precum pierderi de productivitate și consum de resurse IT. Firma de cercetare Forrester estimează că o singură resetare de parolă poate costa 70 de dolari, cost care poate crește rapid în companiile mari.

În plus, compania trebuie să respecte cerințe precum PCI 4.0, care impune utilizatorilor să se reautentifice la fiecare repornire sau acces nou. „Autentificarea fără parolă va face acest proces mult mai fluid”, a spus Rao. „Și, în final, într-o piață competitivă pentru talente în tehnologie și securitate, statutul de companie fără parole arată că suntem o organizație modernă, cu o abordare orientată spre securitate.”

Noi politici și tehnologii pentru dispozitive

Furnizorul de servicii medicale Diversus Health trece, de asemenea, la autentificarea fără parolă, folosind tehnologia sub forma unui control de acces la rețea bazat pe certificate.

„Ca urmare a adoptării recente a unei politici BYOD (vino cu propriul dispozitiv - n.r.), auditul nostru anual intern pentru conformitate HIPAA a identificat lipsa controlului accesului la rețea ca unul dintre riscurile majore”, a spus Neil Ford, administrator de securitate IT. „Așa că am început să căutăm soluții pentru a reduce acest risc.”

Diversus Health a implementat anul acesta un sistem de la Portnox care folosește autentificarea pe bază de certificate pentru a verifica identitatea dispozitivelor. „Distribuim certificatul printr-o soluție de management al dispozitivelor în cloud, astfel încât verificarea cu Portnox este transparentă pentru personal”, a spus Ford.

Soluția a redus eficient riscul conectării dispozitivelor necunoscute la rețea și accesului acestora la resursele interne, a spus Ford.

Elementul-cheie la tehnologiile fără parolă

Unul dintre elementele-cheie ale adoptării cu succes a autentificării fără parolă este comunicarea eficientă cu personalul. „Angajații trebuie să depășească ani întregi de obișnuință cu parolele, iar gestionarea anxietății legitime de tipul «ce fac dacă îmi pierd dispozitivul?» este esențială”, a spus Rao. „Am învățat rapid că trebuie să explicăm ‘de ce’ angajaților.”

Companiile trebuie să prezinte autentificarea fără parolă nu ca pe un nou mandat de securitate, ci ca pe un beneficiu direct pentru angajați: mai puțină frustrare, autentificări mai rapide și eliminarea resetărilor de parolă, a spus Rao. Înainte de trecere, R Systems a organizat sesiuni de instruire interactive pentru a-i familiariza pe angajați cu instrumente precum autentificarea biometrică de pe telefon.

„Nu pot sublinia suficient importanța educării utilizatorilor”, a spus Rao. „Face diferența dintre o implementare de succes și o investiție irosită.”

Citește și: Google avertizează peste 2 miliarde de utilizatori Gmail să îşi schimbe parolele, după atacuri cibernetice

Strategia R Systems pentru autentificarea fără parolă nu este legată de un singur furnizor, ci este construită pe standardele deschise FIDO2 și WebAuthn, „oferindu-ne flexibilitate pentru a alege instrumentele potrivite pentru fiecare profil de risc”, a spus Rao. „Utilizatorii privilegiați, precum administratorii, dezvoltatorii și directorii, folosesc chei hardware FIDO2, în timp ce restul angajaților folosesc passkey-uri integrate cu biometria dispozitivelor, precum Windows Hello și Face ID.”

Compania evaluează în continuare rezultatele tranziției și lucrează pentru a se asigura că sistemul funcționează cât mai bine pentru toată lumea.

„Am observat o îmbunătățire considerabilă a experienței angajaților, cu autentificări mai rapide și o reducere semnificativă a notării parolelor”, a spus Rao. „Cel mai important, autentificarea fără parolă a devenit un element central al arhitecturii noastre • «încredere-zero», oferindu-ne un strat de identitate mai puternic și mai sigur, care permite accesul în siguranță, indiferent de locația utilizatorului sau a dispozitivului.”

• Modelul „zero-încredere” este unul în care verici totul, de fiecare dată. În acest model, sistemul nu presupune că un utilizator sau un dispozitiv este de încredere doar pentru că se află în interiorul rețelei companiei. Fiecare cerere de acces trebuie verificată, autentificată și autorizată continuu.

Editor : Ana Petrescu