Mai mult de jumătate dintre angajați notează parolele corporative pe post-it; o persoană utilizează circa 100 de parole – experți

În acest context, se pune accent din ce în ce mai mult pe implementarea noului concept „fără parolă” (passwordless), care promite că va face viaţa mult mai uşoară atât pentru utilizatori, cât şi pentru echipele de securitate, prin reducerea costurilor de administrare, sporirea productivităţii şi reducerea riscului cibernetic.

„Şi totuşi, în ciuda acestor beneficii atrăgătoare, implementarea acestui concept, atât în mediile business-to-consumer (B2C), cât şi în mediile business-to-business (B2B), nu a fost atât de extinsă pe cât s-a preconizat. Cu toate acestea, atunci când cea mai mare companie de software din lume decide să susţină o nouă abordare tehnologică, este timpul să analizăm mai în detaliu. Cu ceva timp în urmă, Microsoft a descris parolele ca fiind ‘incomode, nesigure şi costisitoare’; dacă facem un fast forward până în martie anul acesta, descoperim cum compania a şi introdus autentificarea fără parolă pentru clienţii de afaceri. În septembrie, Microsoft a anunţat că va extinde suportul pentru toţi utilizatorii. Pe baza acestor declaraţii, s-ar putea spune că era autentificării fără parolă este aici în sfârşit”, subliniază experţii.

Conform unui raport publicat, recent, pe blogul din România al producătorului de soluţii antivirus Eset, arată că 57% dintre angajaţii din SUA au notat parole corporative pe bileţele tip post-it. În acelaşi timp, o estimare din octombrie 2020 relevă faptul că o persoană obişnuită foloseşte aproximativ o sută de parole, cu aproape 25% mai multe decât înainte de începerea pandemiei.

De asemenea, timpul necesar pentru identificarea şi limitarea unei încălcări de securitate a datelor este calculat, la ora actuală, la 287 de zile.

„Aplicaţiile de management al parolelor şi conectarea unică la acestea oferă o anumită formă de compensaţie pentru aceste provocări, stocând şi reţinând parole complexe pentru fiecare cont în parte, astfel încât utilizatorii să nu mai facă acest lucru. În pofida acestor caracteristici, managerii de parole nu sunt încă atât de populari în rândul consumatorilor. Rezultatul? Reutilizăm aceleaşi date de acces uşor de reţinut, pentru mai multe zone de acces parolat, expunând conturile de consumatori şi business la atacuri de tip credential stuffing şi la alte tehnici de spargere care apelează la forţă brută. Nu mai este vorba doar despre riscul de securitate. Parolele necesită resurse semnificative de timp şi bani pentru ca echipele IT să le gestioneze şi pot provoca complicaţii suplimentare în procesul de navigare al clienţilor. Breşele de securitate pot necesita resetări în masă pentru volume mari de conturi, ceea ce poate interfera cu experienţa utilizatorului în mediile B2B şi B2C”, susţin reprezentanţii Eset.

În viziunea acestora, autentificarea fără parolă oferă un avantaj major, iar prin utilizarea unei aplicaţii de autentificare cu sisteme biometrice, cum ar fi recunoaşterea facială, o cheie de securitate sau un cod unic trimis prin e-mail/SMS, organizaţiile pot elimina dintr-o singură mişcare neconcordanţele de securitate şi de administrare asociate cu acreditările statice.

Din datele existente la nivel mondial, reiese faptul că parolele au fost principalul motiv pentru 84% dintre breşele de securitate de anul trecut, în timp ce costurile de administrare IT asociate cu resetarea parolei şi investigarea incidentelor ajung, în unele situaţii, la 150 de lire sterline (200 de dolari) pentru fiecare solicitare de resetare a parolei şi, cumulat, până la 30.000 de ore de productivitate pierdută pe an.

„Cu toate avantajele menţionate, tehnicile ‘fără parolă’ nu sunt o soluţie miraculoasă, lipsită de neajunsuri (…) Securitatea nu este asigurată 100%: atacurile de swap SIM, de exemplu, pot ajuta atacatorii să ocolească codurile de acces unice (OTP) trimise prin SMS. Şi dacă hackerii pot accesa dispozitive/sisteme, de exemplu prin programe spyware, ar putea intercepta şi OTP-uri”, avertizează specialiştii.

În plus aceşti apreciază că datele biometrice nu reprezintă o soluţie imediată, întrucât prin autentificarea cu un atribut fizic pe care utilizatorul nu îl poate modifica sau reseta, miza devine mult mai mare dacă atacatorii găsesc o modalitate de a pirata sistemul.

Totodată, IMM-urile cu o bază mare de utilizatori sau de clienţi pot descoperi că lansarea unor tehnologii fără parolă ajunge să fie în sine destul de costisitoare, ce implică bugete suplimentare pentru înlocuirea de dispozitive sau token-uri compromise.

„Există un motiv pentru care parolele au trecut testul timpului, în ciuda deficienţelor lor majore de securitate – utilizatorii ştiu instinctiv cum să le folosească. Depăşirea fricii de necunoscut ar putea fi abordată mai uşor în cadrul mediul corporativ, unde utilizatorii nu vor avea altă opţiune decât să respecte regulile. Dar într-o lume B2C, retragerea autentificării cu parole ar putea crea suficiente conflicte suplimentare pentru a descuraja clienţii. Prin urmare, trebuie luat în considerare ca procesul de conectare să fie cât mai simplu şi intuitiv posibil. Pe măsură ce era post-pandemie continuă, două tendinţe vor modela viitorul adoptării autentificării ‘fără parolă’: o creştere a utilizării serviciilor online de către consumatori şi apariţia locului de muncă tip hibrid. Având dispozitivul mobil ca piesă centrală în ambele scenarii, este perfect legitim ca acesta să fie punctul de plecare pentru orice strategie corporativă ‘fără parolă’, sunt de părere experţii în securitate cibernetică.

Eset a fost fondată în anul 1992 în Bratislava (Slovacia) şi se situează în topul companiilor care oferă servicii de detecţie şi analiză a conţinutul malware, fiind prezentă în peste 180 de ţări.