Senhas bancárias estão com os dias contados! COO da Sikur explica o porquê

As senhas mantiveram nossos dados seguros por anos e, tradicionalmente, elas têm sido a única forma de autenticação para dar a um usuário acesso às informações e protegê-las de olhares indesejáveis.

No entanto, essa forma única de proteção não é mais suficiente, pois os hackers estão se tornando mais competentes e habilidosos.

81% das violações de dados ocorrem devido a senhas roubadas ou fracas, trazendo à tona a pergunta: existe uma maneira melhor de proteger os dados de alguém?

Em entrevista ao The Fintech Times, o COO da Sikur Alexandre Vasconcelos explica que é tempo de abandonar as senhas — além de adicionar o uso de criptografia — pois a autenticação sem senha (passwordless authentication) é a melhor maneira de garantir que as medidas de segurança sejam capazes de funcionar de forma eficaz. Além de uma maior proteção, o acesso sem senha aprimora a experiência do usuário, tornando a autenticação “perfeita”.

Para Vasconcelos, há uma boa disputa no mercado financeiro:

De um lado, as fintechs, que nasceram para ser ágeis, próximas aos clientes e satisfazer suas necessidades específicas usando fortemente a tecnologia para impulsionar suas operações e fornecer serviços como contas de pagamento, pequenos créditos, seguros e muito mais.

Por outro lado, os bancos tradicionais, que tentam fazer o possível para se reinventar e serem (ou parecerem) “bacanas” para os novos clientes, que estão mais conscientes de como investir seu dinheiro.

Já as fintechs possuem poucos recursos, menos clientes, muitas não têm marca reconhecida, mas atuam de forma ágil, ávidas por conquistar clientes e desbravar o mercado, oferecendo produtos financeiros que se encaixem perfeitamente às necessidades de seu público.

Alexandre Vasconcelos

“Enquanto usuário, para mim os bancos tradicionais ainda têm certa vantagem em relação às fintechs, mas confesso que a cada dia tenho repensado minha experiência com ambos. Devo dizer que é difícil não se render ao modelo de negócio das fintechs”, comenta o COO da Sikur.

Alexandre destaca, ainda, que a motivação dos investidores também mudou. “A escolha entre bancos tradicionais e fintechs não envolve apenas os ‘mais legais’, mas aspectos como consciência social, produtos competitivos, segurança e privacidade.”

Com relação à segurança e privacidade, o COO da Sikur frisa que, embora tradicionais e com orçamentos astronômicos, bancos não estão isentos de ataques cibernéticos. Por isso, a consciência de cibersegurança é um assunto crucial nos dias de hoje. “Tornou-se tão severo que migrou das mãos do CIO/CSO para conselho e presidência”, alerta Alexandre.

Vazamento de dados, ransomware, não conformidade com os regulamentos de proteção de dados e muitos outros eventos podem levar uma empresa à falência, e os órgãos reguladores responsabilizam os líderes, podendo ser punidos financeiramente, com pagamento de multas e outras penalidades.

O COO da Sikur também pondera que, em tempos de guerra cibernética, os estrategistas de cibersegurança têm muitas opções: construir proteção em cima de código aberto, fornecedores e/ou uma junção de ambos.

“Vários provedores de soluções de segurança digital afirmam ter a solução mágica para solucionar todas as suas vulnerabilidades, o que é um equívoco porque, embora seja clichê, as empresas devem implementar a segurança em camadas, e não existe uma abordagem que sirva para todos. Como empresas que priorizam o digital, pode haver algumas lacunas críticas nas fintechs, que podem arruinar suas operações, embora seja trivial supor que essas empresas devam cumprir um conjunto de normas, implementando tecnologias que as apoiem nessa jornada…”

 

Autenticação e criptografia

Alexandre Vasconcelos também explica que algumas tecnologias podem parecer triviais e as organizações tendem a entregar uma implementação ruim ou uma abordagem de segurança insuficiente.

“O 2FA (Second Factor Authentication) levanta a barra, dificultando a vida de um hacker, mas os mais avançados aceitarão e superarão o desafio. A autenticação, como normalmente conhecemos, é apenas uma questão de inserir um nome de usuário e uma senha. No entanto, a forma como nos autenticamos está mudando rapidamente. Uma autenticação melhor, como um modelo sem senha e aspectos comportamentais, gera benefícios de segurança e melhora a experiência do usuário.”

Empresas e governos negligenciaram a autenticação sem senha por quase uma década, mas este cenário está mudando. Recentemente, um gigante da tecnologia anunciou a disponibilidade do sistema sem senha para todos os seus clientes, empurrando o mercado nessa direção.

Alexandre acredita que, para quem respira tecnologia, como as fintechs, a adoção do passwordless authentication é questão de tempo, pois senhas representam insegurança. Isso prova que a autenticação sem senha é madura o suficiente para ser implementada, não importa o tamanho da organização.

Para o COO da Sikur a autenticação sem senha traz ao mercado financeiro novas abordagens:

  • Elimina o principal alvo do hacker: credenciais.
  • Previne a atuação de ransomware e malware.
  • Melhora a experiência do cliente.
  • Por fim, a melhor abordagem é tirar as credenciais das mãos do cliente.

Um estudo NordVPN afirma que uma pessoa tem, em média, entre 70 e 80 senhas para gerenciar. Essas credenciais provavelmente estão em algum arquivo na nuvem ou em um dispositivo móvel, sendo reutilizadas, compartilhadas e em muitas outras situações que as colocariam em risco. Além disso, é fácil esquecer os dados e, conforme mencionado anteriormente, as leis de privacidade de dados, regulamentações, penalidades e multas vieram para ficar, influenciando de forma direta este cenário.

“A meu ver pode ser um ponto de virada quando se trata de estratégia de segurança cibernética. Hoje temos a tecnologia para integrar e transmitir dados com segurança, mas, na maioria das vezes, esquecemos que essas informações são armazenadas de forma desprotegida. Ou seja, se vazar, fica tudo à mostra. Um backup até pode ajudar a voltar a operação da organização aos trilhos, mas o dano existe à nível financeiro e reputacional”, também alerta Alexandre.

Ele explica que a criptografia pode resolver isso, pois criptografar dados na origem protege as informações confidenciais antes que saiam do dispositivo do usuário. Aliás, essa abordagem não é nova, então por que não implementá-la?!

Autenticação sem senha existe há quase dez anos. A Aliança FIDO busca apoiar seu desenvolvimento. Além de oferecer segurança, autenticação sem senha é uma experiência de usuário superior, sem comprometer a segurança.

Como citado anteriormente, o relatório de investigação de violação de dados da Verizon (2020) afirma: 81% das violações relacionadas a hackers usam senhas roubadas ou fracas. Isso mostra claramente que devemos evitar senhas.

Quando se trata de proteção de dados, é ainda pior e mais assustador: apenas 17% das organizações criptografam pelo menos metade de seus dados confidenciais na nuvem. Em penalidades de situações de vazamento de dados, multas dos reguladores seriam inevitáveis.

Por fim, Alexandre Vasconcelos destaca que, enquanto a maioria dos provedores de segurança cibernética se concentra na detecção e solução de problemas, é difícil encontrar quem se concentre na antecipação, tendo como premissa o “prevenir ao invés de remediar”, como faz a Sikur, evitando problemas antes que se transformem em danos. A autenticação sem senha e a criptografia no dispositivo podem ajudar.

 

Veja também: Cibersegurança virou caso de governança

Mais do que uma solução tecnológica, somos uma decisão estratégica para as organizações.

Nossa missão é redefinir a relação das empresas com a cibersegurança e a experiência dos usuários no processo de autenticação e acesso a ativos tecnológicos.