Aqui estão dois números que devem incomodar a todos: 92% das organizações estão implementando o sistema sem senha. Somente 7% passaram a ser totalmente sem senha.
Essa lacuna não é um problema de tecnologia. As ferramentas existem. Os padrões estão maduros. A intenção está presente. O caso comercial é claro: menos vulnerabilidades, custos mais baixos, melhor experiência do usuário. Ainda assim, a maioria das organizações continua digitando senhas todos os dias.
Então, por que essa lacuna?
Talvez o paradoxo da adoção exista porque as organizações acham que não têm dados suficientes para entender nossos ambientes complexos: sistemas legados, diversos usuários e condições inconsistentes do mundo real.
As plataformas de identidade já geram grandes quantidades de telemetria todos os dias - eventos de autenticação, padrões de acesso, taxas de falha, sinais comportamentais. A maioria das equipes de segurança consome esses dados. Pouquíssimas os analisam.
Na prática, a telemetria de identidade é frequentemente usada para auditorias e relatórios de conformidade, e fica por aí. O que deixa sem resposta algumas das perguntas mais importantes, como por que uma organização está lutando para deixar de usar senhas:
- Onde os usuários estão realmente tendo dificuldades e por quê?
- Onde a confiança é quebrada na prática?
- Quais controles realmente melhoram os resultados?
No último ano, percebi que os dados de identidade não são valiosos por si só. Eles só são importantes quando levam à ação. E são as perguntas certas que trazem à tona os sinais certos de que as organizações precisam para conduzir essa ação.
Tome como exemplo a adoção sem senha. Ela se resume a três perguntas:
A primeira: a ausência de senha está disponível para todos?
Não na teoria, mas na prática. A lacuna entre o que é implementado e o que os usuários podem realmente usar costuma ser muito maior do que os painéis sugerem. Os sinais dessa lacuna geralmente aparecem onde as equipes não estão procurando ativamente.
A segunda: os usuários podem acessar sem senha em qualquer lugar?
Os usuários podem acessar o caminho seguro onde quer que precisem? Um único fluxo de trabalho, sistema ou exceção que force uma solução alternativa pode impedir a adoção sem senha. Os usuários não pensam em sistemas, eles pensam em experiências.
A terceira: O sistema sem senha funciona sempre?
Não no escritório, não em um bom dia, mas sempre, em todos os ambientes em que seus usuários realmente operam. Os usuários não recorrem às senhas porque as preferem. Eles recuam porque o caminho seguro falhou quando mais importava.
No Identiverse, mostrarei como fazer perguntas como essas pode mudar o que você mede, onde os sinais enganam as equipes e como eles remodelam o que é construído.
Na RSA, testamos essa hipótese em nós mesmos. Implementamos o sistema sem senha em todos os funcionários, todos os logins e todos os casos de uso. A empresa se tornou o local de teste.
O objetivo era simples: 100% sem senha. E acreditávamos que tínhamos atingido o objetivo.
Em seguida, examinamos a telemetria.
Os usuários ainda digitavam senhas. Todos os dias. Apesar da implementação, do treinamento e da política.
Isso forçou uma pergunta difícil: por quê?
A única resposta honesta era parar de adivinhar e começar a seguir os dados.
O que se seguiu reformulou nossas decisões, políticas e design de produtos e, por fim, nos levou ao ponto em que precisávamos estar: sem senha para nossa força de trabalho global em diversos ambientes. A FIDO Alliance documentou a jornada em um estudo de caso, explicando as tecnologias, os desafios e as lições aprendidas ao longo do caminho.
É aqui que a história muda. Alcançamos a adoção de 94% sem senha em toda a nossa força de trabalho global em 12 meses.
No início, parecia que a parte mais difícil já havia sido feita.
Mas a maioria das violações modernas não envolve a quebra da autenticação. Elas envolvem contorná-la. Ataques de fadiga de MFA, engenharia social de helpdesk e spear phishing com tecnologia de IA que visam processos humanos em vez de sistemas. Em muitos incidentes recentes, os invasores nunca tocaram na autenticação. Eles a contornaram.
Violações de dados no Caesars Entertainment Group, MGM Resorts, Marks & Spencer, e outras organizações nos forçaram a repensar onde a confiança realmente se rompe na jornada da identidade.
Credenciais sólidas são necessárias, mas não suficientes.
Por isso, estendemos nossa telemetria para além da autenticação, abrangendo todo o ciclo de vida da credencial, especialmente os fluxos de trabalho de recuperação e acesso à conta.
E uma questão se tornou crítica:
A recuperação é mais fácil do que o login?
Compartilharei os sinais que começamos a rastrear na recuperação, o que eles revelaram e como o fechamento dessa lacuna mudou nossa visão da confiança contínua.
No Identiverse, vou me aprofundar nessas ideias. A ausência de senha foi o nosso campo de provas, mas fazer as perguntas certas sobre a telemetria de sua identidade não se trata realmente de ausência de senha - ou não se trata de somente sem senha. Isso se aplica da mesma forma à fadiga da MFA, às lacunas do Zero Trust ou a qualquer iniciativa de segurança que você esteja tentando promover.
Junte-se a mim sessão na quinta-feira, 18 de junho, às 10h15.
E não deixe de visitar a RSA em Estande do Identiverse #451 para ver como a RSA oferece o recurso sem senha para todos os usuários, em todos os ambientes, para todos os casos de uso e para demonstrar como RSA Live Verify ajuda a fechar a lacuna de recuperação que estamos discutindo.
