O que podemos aprender com as grandes violações de dados?

No início de 2014, comentei que estávamos cansados das violações de dados. Hoje, acredito que estamos mais perto da completa...

No início de 2014, comentei que estávamos cansados das violações de dados. Hoje, acredito que estamos mais perto da completa exaustão e os consumidores têm se sentido impotentes.

Deveríamos nos perguntar como consumidores: o que exatamente foi comprometido? Que informação caiu no bolso dos infratores e como eles podem usá-la para me atacar? Quando nossos dados são comprometidos uma, duas ou várias vezes, estamos em maior risco? Quão vulneráveis estamos quando colocamos dados e detalhes pessoais nas mãos de hackers e fraudadores?

Normalmente, os consumidores se preocupam mais com os dados demográficos, que podem ser hackeados e usados no momento de autenticações, como no caso de abertura de uma conta ilegítima para pagamento de despesas não autorizadas ou para criar contas bancárias falsas. Precisamos ter consciência de que sempre existe um risco, mesmo que nós, como prestadores de serviços, não percebamos o impacto dele. Então o que podemos aprender com isso?

Autenticadores-zumbi são um presente para hackers

Bom, para começar, por que ainda usamos a autenticação baseada em dados estáticos emitidos por terceiros? Documentos pessoais, número de identidade, endereços domiciliares e a data de nascimento dos usuários são autenticadores-zumbi à disposição de hackers ? muito mais do que as senhas em si! Estes dados, que deveriam ser sigilosos, estão disponíveis por meio de fontes públicas ou pesquisáveis... ainda em 2018.

Os hackers também têm bancos de dados para armazenar essas informações. Qualquer pessoa com acesso a um dark site pode pesquisar dados para ver se existe uma data de aniversário, número de identidade ou endereço residencial do alvo desejado. Na verdade, já existe um nome para essa situação: "Credential Stuffing?, ou seja, o ato de interceptar e usar o máximo de elementos de autenticação possíveis para tentar acessar e tomar o controle de uma conta.

O prazo está se encerrando! Participe da pesquisa Panorama Mercado de ERP Brasil 2017 e concorra a um iPad Mini. Você vai levar 3 minutos!

Biometria e outras medidas de autenticação devem ser adotadas

Quando pedem dados para me autenticar dá até aflição. Prefiro fazer negócios com uma entidade com um processo de autenticação mais rígido e algo muito mais esperto e sofisticado para validar que eu sou, de fato, eu. Agora temos, inclusive, a biometria ? e o cliente pode usá-la por meio de um dispositivo móvel.

Existem, também, a autenticação por perguntas dinâmicas (cujas respostas são conhecidas apenas pelo provedor de serviços e cliente) e a autenticação multifator, capaz de reunirdois ou mais tipos de validação diferentes. Isso pode ser usado para tornar a experiência muito mais eficaz e reduzir o potencial de risco. Eu me sentiria mais seguro vivendo neste mundo de violações, se soubesse que minha instituição financeira me autenticou de diferentes modos? Isso seria mais ágil e eficaz do que as autenticações atuais, com inúmeras perguntas durante o contato com o usuário? Sim, é claro!

Compre seu ingresso para o ERP Summit!

Sei que ninguém quer receber uma carta de sua instituição financeira ou procurar por si mesmo em uma página de segurança para determinar se está exposto ao risco após uma grande falha ter sido revelada. Mas, infelizmente, essa é uma realidade. Deixar de usar dados estáticos e passar a utilizar autenticações dinâmicas deve ser considerada a grande lição dessas violações.