Berikut adalah dua angka yang seharusnya mengganggu semua orang: 92% organisasi menerapkan tanpa kata sandi. Hanya 7% telah sepenuhnya tanpa kata sandi.
Kesenjangan itu bukanlah masalah teknologi. Alat-alatnya sudah ada. Standarnya sudah matang. Niatnya ada. Alasan bisnisnya jelas: lebih sedikit kerentanan, biaya lebih rendah, pengalaman pengguna yang lebih baik. Namun, sebagian besar organisasi masih mengetikkan kata sandi setiap hari.
Jadi, mengapa ada kesenjangan?
Mungkin paradoks adopsi terjadi karena organisasi berpikir bahwa mereka tidak memiliki cukup data untuk memahami lingkungan kita yang kompleks: sistem lama, pengguna yang beragam, dan kondisi dunia nyata yang tidak konsisten.
Platform identitas sudah menghasilkan telemetri dalam jumlah besar setiap harinya - peristiwa otentikasi, pola akses, tingkat kegagalan, sinyal perilaku. Sebagian besar tim keamanan mengonsumsi data itu. Sangat sedikit yang menginterogasinya.
Dalam praktiknya, telemetri identitas sering kali digunakan untuk audit dan pelaporan kepatuhan, dan berhenti sampai di situ. Hal ini membuat beberapa pertanyaan paling penting-seperti mengapa sebuah organisasi berjuang untuk menjadi tanpa kata sandi-tidak terjawab:
- Di mana sebenarnya pengguna mengalami kesulitan dan mengapa?
- Di manakah kepercayaan rusak dalam praktiknya?
- Kontrol mana yang benar-benar meningkatkan hasil?
Selama setahun terakhir, saya menyadari bahwa data identitas tidaklah berharga dengan sendirinya. Data tersebut hanya akan berarti jika mengarah pada tindakan. Dan pertanyaan yang tepatlah yang memunculkan sinyal yang tepat yang dibutuhkan organisasi untuk mendorong tindakan tersebut.
Ambil contoh adopsi tanpa kata sandi. Ini bermuara pada tiga pertanyaan:
Yang pertama: Apakah tanpa kata sandi tersedia untuk semua orang?
Tidak dalam teori, dalam praktiknya. Kesenjangan antara apa yang digunakan dan apa yang sebenarnya dapat digunakan pengguna sering kali jauh lebih besar daripada yang ditunjukkan oleh dasbor. Sinyal-sinyal kesenjangan tersebut biasanya muncul ketika tim tidak secara aktif mencarinya.
Yang kedua: Dapatkah pengguna mengakses tanpa kata sandi di mana saja?
Dapatkah pengguna mengakses jalur aman di mana pun mereka membutuhkannya? Satu alur kerja, sistem, atau pengecualian yang memaksa solusi dapat menghambat adopsi tanpa kata sandi. Pengguna tidak berpikir dalam sistem, mereka berpikir dalam pengalaman.
Yang ketiga: Apakah tanpa kata sandi berfungsi setiap saat?
Tidak di kantor, tidak pada hari yang baik tetapi setiap saat, di setiap lingkungan tempat pengguna Anda beroperasi. Para pengguna tidak mundur ke kata sandi karena mereka menyukainya. Mereka mundur karena jalur aman gagal pada saat yang paling penting.
Di Identiverse, saya akan menjelaskan bagaimana mengajukan pertanyaan seperti ini dapat mengubah apa yang Anda ukur, di mana sinyal menyesatkan tim, dan bagaimana mereka membentuk kembali apa yang dibangun.
Di RSA, kami menguji hipotesis ini pada diri kami sendiri. Kami meluncurkan tanpa kata sandi pada setiap karyawan, setiap login, dan setiap kasus penggunaan. Perusahaan menjadi tempat uji coba.
Tujuannya sederhana: 100% tanpa kata sandi. Dan kami yakin kami melakukannya dengan benar.
Kemudian kami melihat telemetri.
Pengguna masih mengetik kata sandi. Setiap hari. Meskipun sudah ada penerapan, pelatihan, dan kebijakan.
Hal itu memaksa sebuah pertanyaan sulit: mengapa?
Satu-satunya jawaban yang jujur adalah berhenti menebak-nebak dan mulai mengikuti data.
Apa yang terjadi selanjutnya membentuk kembali keputusan, kebijakan, dan desain produk kami dan pada akhirnya membawa kami ke tempat yang seharusnya: tanpa kata sandi untuk tenaga kerja global kami di berbagai lingkungan. Aliansi FIDO mendokumentasikan perjalanan ini dalam sebuah studi kasus, menjelaskan teknologi, tantangan, dan pelajaran di sepanjang perjalanannya.
Di sinilah cerita berubah. Kami mencapai adopsi tanpa kata sandi 94% di seluruh tenaga kerja global kami dalam waktu 12 bulan.
Pada awalnya, rasanya bagian yang sulit sudah selesai.
Tetapi kebanyakan pembobolan modern tidak melibatkan otentikasi retak. Mereka melibatkan cara melewatinya. Serangan kelelahan MFA, rekayasa sosial meja bantuan, dan spear phishing bertenaga AI yang menargetkan proses manusia, bukan sistem. Dalam banyak insiden baru-baru ini, para penyerang tidak pernah menyentuh autentikasi. Mereka melewatinya.
Pelanggaran data di Caesars Entertainment Group, MGM Resorts, Marks & Spencer, dan organisasi lainnya memaksa kami untuk memikirkan kembali di mana sebenarnya kepercayaan itu rusak dalam perjalanan identitas.
Kredensial yang kuat memang diperlukan, tetapi tidak cukup.
Jadi kami memperluas telemetri kami lebih dari sekadar autentikasi ke dalam siklus hidup kredensial penuh, terutama alur kerja pemulihan dan akses akun.
Dan satu pertanyaan menjadi sangat penting:
Apakah pemulihan lebih mudah daripada login?
Saya akan berbagi sinyal yang mulai kami lacak di seluruh pemulihan, apa yang mereka ungkapkan, dan bagaimana menutup kesenjangan itu mengubah pandangan kami tentang kepercayaan yang berkelanjutan.
Di Identiverse, saya akan membahas lebih dalam tentang ide-ide ini. Tanpa kata sandi adalah tempat pembuktian kami, tetapi mengajukan pertanyaan yang tepat tentang telemetri identitas Anda bukanlah tentang tanpa kata sandi - atau bukan tentang hanya tanpa kata sandi. Hal ini juga berlaku untuk kelelahan MFA, kesenjangan Zero Trust, atau inisiatif keamanan apa pun yang Anda coba dorong.
Bergabunglah dengan sesi pada hari Kamis, 18 Juni pukul 10:15 pagi.
Dan pastikan untuk mengunjungi RSA di Booth Identiverse #451 untuk melihat bagaimana RSA memberikan tanpa kata sandi untuk setiap pengguna, di setiap lingkungan, untuk setiap kasus penggunaan dan untuk mendemonstrasikan bagaimana Verifikasi Langsung RSA membantu menutup kesenjangan pemulihan yang telah kita bahas.
