Os ataques relacionados à autenticação cresceram no ano passado, aproveitando sistemas desatualizados de autenticação baseados em senha, de acordo com um estudo encomendado pela HYPR, fornecedora americana de software de autenticação multifator sem senha (MFA). Para o levantamento, conduzido pela empresa de pesquisa de mercado de tecnologia Vanson Bourne, foram entrevistados mil profissionais de TI de organizações em todo o mundo com mais de 50 funcionários.
Segundo a empresa, três em cada cinco entrevistados disseram que suas organizações foram alvo de ataques relacionados à autenticação no ano passado. Além disso, de 88% sofreram um ou mais ataques cibernéticos nos últimos 12 meses, 43% relataram phishing ou smishing como a principal forma de ataques.
Os ataques de notificação por push — também conhecidos como bombardeio de notificações de login ou bombardeio MFA — representaram 28% dos ataques. Esses ataques, em que um usuário é bombardeado com vários alertas push para acesso ao dispositivo, contribuíram para apenas 12% e 9%, respectivamente, em 2021 e 2020.
O relatório da pesquisa aponta que a maioria das organizações ainda usa vários métodos de autenticação legados, como nome de usuário e senha (57%), TFA/MFA (54%), gerenciador de senhas (49%) e logon único (43%). Apenas 28% dos entrevistados disseram que usam alguma forma de autenticação sem senha.
Um quinto das organizações admite ter sofrido duas ou mais violações relacionadas à autenticação no ano passado. O custo médio de uma violação relacionada à autenticação foi de US$ 2,95 milhões. Apesar disso, a maioria dos entrevistados (87%) acredita que a abordagem de autenticação de sua organização é completa e segura.
A pesquisa constatou que os métodos de autenticação herdados também apresentam vários pontos problemáticos em termos de gerenciamento e controle. Os problemas destacados pelos entrevistados incluíram dificuldade na autenticação segura de trabalhadores remotos (36%), dispositivos de terceiros não gerenciados (35%), complexidade da tecnologia para implantação (34%), resistência dos funcionários à adoção (31%) e redefinição de senha/credencial (29%).
Além disso, 81% dos entrevistados admitiram ter problemas para acessar informações críticas de trabalho em ocasiões em que esqueceram uma senha. O relatório indicou um gasto médio de US$ 375 por funcionário por ano com problemas de senha.
O estudo observou uma tendência no mercado para adoção de autenticação sem senha, já que quase todos (98%) os entrevistados concordaram que suas organizações se beneficiarão com a implementação de métodos sem senha. Os principais incentivos para a mudança para métodos sem senha incluíram melhorar a experiência e a produtividade do usuário (45%), fortalecer a segurança cibernética (43%), incentivar a adoção de MFA pelos funcionários (42%) e descartar sistemas legados inseguros (36%).
Veja isso
123456 é a senha mais utilizada pelos brasileiros
Gestores de TI querem acabar com o uso de senhas
Segundo o relatório, o estigma associado às despesas de implementação de sistemas sem senha está diminuindo, pois os benefícios de segurança aprimorada, experiência do usuário aprimorada e desempenho comercial superam os desafios anteriores.
A pesquisa destacou alguns equívocos sobre o que constitui a autenticação sem senha. Entre os entrevistados que relataram que suas organizações usam sistemas sem senha, 58% usaram OTPs (one-time passwords, ou senhas descartáveis) por meio de um aplicativo autenticador móvel, 54% usaram tokens de hardware OTP, como tokens RSA (criptografia de chave pública), 53% usaram notificações push e 50% senhas armazenadas que são desbloqueadas com biométrica e retransmitida no back-end.
Um verdadeiro sistema sem senha, sem uso de senhas, foi usado por apenas 3% dos entrevistados, o que significa que a grande maioria das organizações com uma solução presumida sem senha ainda está aberta a phishing, fadiga de push e outros ataques de MFA.