Pesquisas indicam que os consumidores estão se tornando mais abertos à biometria e à autenticação multifator. Portanto, os CISOs que buscam fortalecer seus procedimentos de autenticação voltados para o cliente para impedir ataques cibernéticos precisam caminhar sobre uma linha tênue. Afinal, você deseja que o método escolhido forneça segurança rígida sem ser muito complicado, confuso ou oneroso para os usuários finais. Contudo, você também precisa estar atento às questões de privacidade, especialmente quando se trata de abordagens como perguntas desafiadoras ou reconhecimento facial.
Então, selecionar o método de autenticação mais apropriado para seus clientes é um alvo em movimento. Afinal, as atitudes do consumidor estão sempre mudando. Contudo, a pandemia teve um efeito: os consumidores impedidos de fazer compras na loja devido aos bloqueios voltaram-se para o varejo online e nunca mais olharam para trás. Os especialistas dizem que, à medida que os consumidores se acostumaram a compras digitais para coisas como mantimentos, eles também se tornaram mais confortáveis com outras formas de comércio digital, como banco móvel ou carteiras digitais.
Ressalvas
No entanto, diferenças demográficas se aplicam. Por exemplo, os consumidores da geração “nativa digital” esperam poder se mover perfeitamente entre todos os seus dispositivos e em várias plataformas. É o caso de sites de compras, métodos de pagamento e seu banco, de acordo com um estudo realizado por PYMNTS.com e Nok Nok Laboratórios com foco no setor bancário. Esses clientes superconectados estão mais abertos a medidas de segurança inovadoras, como autenticação multifator sem senha.
Afinal, uma coisa que todos os grupos demográficos reconhecem: as senhas são o método de autenticação mais irritante e oferecem a menor proteção. Portanto, os consumidores desejam e esperam que as organizações façam a transição da autenticação baseada em senha para alternativas mais modernas, como biometria (impressões digitais ou reconhecimento facial), autenticação multifator (MFA), ou mesmo métodos invisíveis para o usuário.
Segurança, a prioridade do consumidor
De acordo com o Relatório Global de Identidade e Fraude 2021 da Experian, 55% dos entrevistados disseram que a segurança é sua principal prioridade ao conduzir uma transação online. Quando solicitado pela Experian para classificar os métodos de autenticação com base em seu nível de segurança, 74% citaram a biometria como a mais segura, seguida por códigos PIN enviados para dispositivos móveis (72%) e análise comportamental (66%), uma técnica que usa passivamente sinais observados e não requer nenhuma ação por parte do consumidor.
Portanto, a Experian resumiu sua pesquisa da seguinte maneira:
“Notavelmente, as senhas não ganharam um lugar entre os três métodos principais para autenticar a identidade do cliente, embora quase todas as contas e dispositivos digitais incluam algum tipo de proteção por senha. Isso indica uma nova mudança no pensamento do consumidor que se afasta do domínio da senha”.
O relatório acrescentou: “Uma das nossas descobertas mais significativas foi o conforto e a preferência cada vez maiores que os consumidores têm por métodos de segurança físicos e comportamentais – ou invisíveis”. Os dados também mostram que os consumidores estão mais dispostos “a que as empresas gerenciem sua segurança e privacidade sem envolvimento aberto”.
Historicamente, as organizações usaram métodos de autenticação que dependiam das ações do cliente. Ou seja, memorizar senhas, responder a perguntas desafiadoras, ir e vir associado à inserção de um nome de usuário / senha, receber um código PIN único (possivelmente em um dispositivo diferente se você estiver usando um computador para realizar a transação e a senha vai para o seu telefone) e, em seguida, digitá-la em um campo.
Equilíbrio
James Brodhurst, chefe da Prática de Identidade e Fraude da Experian na Europa, África e Oriente Médio, acrescenta:
“As empresas, mais do que nunca, precisam equilibrar a prevenção de fraudes e uma experiência tranquila para o cliente. Felizmente, muitas das verificações necessárias podem ser realizadas de forma invisível e em tempo real durante a integração do cliente. Por exemplo, executar verificações de consistência em seu dispositivo ou avaliação biométrica comportamental do cliente”.
Os pesquisadores do PYMNTS chegaram a uma conclusão semelhante. Sua pesquisa com mais de 2.000 consumidores adultos encontrou uma desconexão significativa entre os métodos legados que os clientes usam para acessar suas contas bancárias e seus métodos preferidos.
Três quartos dos consumidores ainda usam nome de usuário / senha, mas apenas 42% preferem esse método. Em termos de alternativas, 18% disseram que preferem usar autenticação baseada em códigos PIN, outros 14% disseram que prefeririam autenticação apenas por impressão digital, 11% queriam apenas varreduras faciais e 13% disseram que prefeririam autenticação multifator.
Resultado:
“Dada a mudança nas preferências do consumidor, as empresas têm a oportunidade de uma nova abordagem à segurança, colocando em camadas métodos visíveis e invisíveis. Aproveitando os dados e observações acumulados ao longo da jornada do cliente, as empresas podem facilitar o reconhecimento e autenticação precisos em cada decisão discreta ”, disseram os pesquisadores da Experian.
Opções de autenticação avaliadas
Senhas: a abordagem legada
“As senhas têm sido uma dor de cabeça consistente para os profissionais de segurança há anos”, segundo a 451 Research em seu recente relatório de Inteligência de Mercado sobre autenticação multifator. “Afinal, as falhas de segurança inerentes às senhas estão se manifestando na crescente onda de violações de dados relacionadas ao roubo de credenciais.”
A IDC coloca isso de forma um pouco mais direta em seu relatório MarketScape, Autenticação Avançada Mundial para Segurança de Identidade 2021:
“Qualquer membro da equipe de segurança que não saiba que credenciais de identidade comprometidas são a principal causa de violações de segurança de rede e / ou perda de dados está vivendo sob uma rocha virtual. As senhas são … bem ruins”.
Resumindo: as senhas são a solução existente e legada, e os clientes estão prontos para opções melhores.
Senha de uso único via SMS: outra abordagem legada
Frequentemente emparelhado com nome de usuário / senha, esse método comumente usado envolve o envio de uma mensagem SMS para o telefone celular do usuário, contendo uma senha de uso único. No entanto, SMS não é um modo de transporte particularmente seguro e o NIST agora não recomenda o uso de SMS como um segundo fator. O Guia de Mercado da Gartner para Autenticação do Usuário acrescenta que os métodos legados fora de banda usando SMS são “relativamente fracos”.
Biometria: uma tecnologia cuja hora chegou
Com a autenticação baseada em impressão digital um recurso em smartphones por muitos anos e o reconhecimento facial um recurso padrão em novos iPhones, iPads e superfícies da Microsoft, os consumidores estão se acostumando com a biometria como método de autenticação.
A biometria oferece muitas vantagens como um substituto para as senhas. Afinal, elas são rápidas, confiáveis e difíceis de falsificar. Além disso, elas não exigem que o consumidor faça ou lembre de nada.
A única desvantagem gira em torno de questões de privacidade. Uma coisa é se um consumidor usa o rosto para desbloquear seu próprio telefone, mas é outra completamente diferente fornecer dados biométricos a terceiros, não importa o quão confiáveis e não importa o quanto eles insistam que os dados biométricos sejam protegidos e criptografados.
Por exemplo, em uma pesquisa recente da KPMG, apenas 44% dos consumidores consideraram aceitável o uso de reconhecimento facial para acessar suas informações financeiras. Portanto, as empresas que implementam a biometria precisam fazer um esforço concentrado para serem transparentes sobre como lidam com os dados biométricos.
Autenticação multifator: dois fatores são melhores do que um
O Gartner prevê que até 2023, 60% das grandes empresas globais implementarão a autenticação multifator (MFA), um aumento significativo de apenas 10% hoje. Contudo, o Gartner também distingue entre MFA legado, em que uma forma de identificação é nome de usuário / senha, seguido por um segundo método, uma pergunta-desafio ou um código PIN enviado ao telefone ou e-mail de um consumidor, e MFA mais avançado, que elimina a senha por completo .
Um método de autenticação cada vez mais popular é a notificação push. Com a tecnologia push, os usuários recebem uma notificação em seu dispositivo móvel por meio de um aplicativo autenticador dedicado. Então, os clientes abrem o aplicativo, inspecionam os detalhes da tentativa de autenticação e devem confirmar a solicitação de verificação.
Push é fácil de usar, eficiente e de baixo custo. A única desvantagem real parece ser que alguns usuários podem apertar distraidamente o botão de aprovação sem olhar para a notificação, então eles podem acabar aprovando uma transação falsa. Entretanto, o Gartner diz que tem visto uma disposição crescente por parte dos clientes em adotar métodos como push móvel no setor bancário.
Outra dificuldade da autenticação multifator é exigir que o usuário final insira não um nome de usuário / senha, mas um endereço de e-mail. Um link real ou um código PIN é enviado para o endereço de e-mail. Mas, felizmente, as organizações têm muitas maneiras de combinar vários métodos multifatoriais para encontrar o equilíbrio certo entre segurança e uma experiência de usuário tranquila.
Autenticação invisível: o futuro
O método de autenticação mais promissor não exige que o usuário final faça nada. Trata-se da chamada autenticação invisível. No entanto, existem várias variações sobre este tema:
Autenticação biométrica comportamental
Isso analisa as teclas digitadas, a dinâmica do mouse ou até mesmo como uma pessoa segura o telefone.
Reconhecimento do dispositivo
A parte de autenticação pode reconhecer que o próprio dispositivo recebeu autenticação.
Contextual / comportamental
Isso pode incluir geolocalização, ambiente de computação e a natureza da transação que está sendo tentada.
Outro conceito associado à autenticação sem senha e de baixo atrito é a autenticação contínua com base no comportamento do cliente. Por exemplo, se a autoridade de autenticação tiver informações contextuais suficientes no login (endereço IP, geolocalização, histórico anterior), ela pode permitir que o usuário entre. No entanto, o sistema de autenticação continua a monitorar a atividade do cliente e se algo levantar suspeitas ou se eles tentarem realizar uma tarefa que requer um nível mais alto de autenticação, o sistema pode então enviar uma notificação push solicitando que o cliente verifique uma transação.
Como diz David Britton, vice-presidente de soluções do setor da Experian, “há uma oportunidade para as empresas adotarem soluções invisíveis com mais liberdade, o que pode reduzir o atrito e aumentar a satisfação do cliente”.
Claro, todo método de autenticação tem seus prós e contras. Afinal, com a autenticação invisível, o cliente pode questionar com razão se os protocolos de segurança existem, uma vez que não são imediatamente aparentes. Essa preocupação provavelmente pode ser superada com educação e com uma experiência de usuário sem atrito.
