Tokens dão lugar à autenticação avançada e assinatura de transações mais simples

Por Colaborador externo | 27.01.2015 às 07:37

Por Shlomi Yanai*

Roubos de senhas, fraudes bancárias, invasão de contas, vazamento de informações. Essas são ameaças iminentes e preocupantes tanto para pessoas físicas, como para as corporações e instituições financeiras. As dificuldades e as novidades no que tange a segurança cibernética ou cyber security são crescentes e aparecem todos os dias em notícias em todo mundo. Ninguém está livre. Um ponto comum a todos esses ataques são os notáveis problemas relacionados à identificação de usuários, que é a principal porta de entrada dos hackers, seja para roubar contas ou invadir transações financeiras.

Os maus intencionados chegam por diversas portas e os ataques ocorrem sob as mais variadas técnicas. Senhas são compartilhadas a todos os momentos e as operações encontram-se cada vez mais desprotegidas. Sem falar do chamado Social Engineering (Engenharia Social), que consiste no ato de manipular pessoas para conseguir informações confidenciais sobre brechas de segurança ou mesmo sobre senhas de acesso a dados importantes.

Para reduzir fraudes e evitar invasões é preciso investir na checagem das operações de usuários. Existe uma necessidade por parte de empresas, instituições financeiras e serviços online de proporcionar aos seus clientes e usuários um método fácil e seguro para acessar suas contas e redes, garantindo sigilo dos seus dados. O problema é que na maioria das organizações, principalmente as do segmento financeiro, as tecnologias tradicionais utilizadas para proteger os serviços e acessos realizados online não estão acompanhando a rapidez dos hackers. Empregam senhas únicas ou então tokens USB, soluções que podem ser facilmente hackeadas com técnicas básicas de invasão.

Existem tecnologias capazes de simplificar esse processo e ao mesmo tempo proporcionar autenticação avançada de usuários no combate a fraudes em transações online, inclusive com tecnologia patenteada. Elas impedem o acesso não autorizado, roubo de senhas estáticas ou por ataques de engenharia social. A segurança deste tipo de tecnologia é incomparável, já que obrigatoriamente o usuário precisa de um dispositivo móvel ou físico para validar operações.

Diferente de outras soluções mais tradicionais, que exigem a digitação física de um código em um dispositivo para gerar uma senha de uso único (OTP), este tipo de tecnologia permite aos clientes utilizar rapidamente os seus próprios dispositivos, sejam físicos ou móveis, para criarem uma conexão segura out-of-band com o backend seja de uma instituição financeira ou organização e, assim, confirmar suas identidades e transações. O emprego de uma tecnologia piscante elimina o risco da comunicação entre o backend e o dispositivo. E, mais do que isso, se de alguma forma a interceptação acontecer, não será possível compreender o que foi criptografado nesse canal. Para a validação, basta apontar o sensor na direção de uma imagem piscante na tela do computador ou qualquer outro dispositivo e confirmar se os valores da transação apresentados estão corretos. Uma assinatura eletrônica então é gerada e a operação validada com total segurança.

Exemplificando um pouco mais, imagine que um hacker esteja tentando acessar seus serviços financeiros. Com esta tecnologia avançada, a cada tentativa de acesso você recebe uma notificação Push no celular, perguntando se é você quem está naquele momento tentando realizar alguma operação relacionada à sua conta bancária. Se você realmente estiver à frente da transação, ao receber a notificação, autoriza com segurança o procedimento a ser realizado. Outra vantagem é que se nenhum canal de informação estiver disponível, o usuário pode ainda utilizar este tipo de aplicação para capturar um QR Code com a câmera de seu telefone, exibindo o desafio da autenticação ou os valores da transação na tela do dispositivo. Além disso, estamos falando de um único dispositivo com recurso de autenticação avançada, que elimina o compartilhamento de senhas nos ataques de engenharia social e ainda assina as transações, o que melhora consideravelmente a usabilidade e ao mesmo tempo traz níveis surpreendentes de segurança.

As ameaças existem e em tempos de mobilidade, seja pela facilidade de se transacionar online, ou mesmo da tendência crescente dos dispositivos móveis, que aumenta ainda mais a necessidade de garantir o acesso ao backend do banco ou na rede corporativa, a partir de qualquer lugar e, ao mesmo tempo, cumprir as regulamentações relacionadas aos diversos níveis de segurança. A tendência no futuro é que nesse mundo digital a autenticação e a assinatura de uma transação se tornem cada vez mais exigidas e que sejam feitas de maneira simples e segura.

*Shlomi Yanai é presidente e CEO da Datablink, fornecedor global de soluções avançadas para autenticação e prevenção de fraudes