Construir um futuro mais seguro pode parecer arriscado: os clientes irão se adaptar facilmente a regras mais rigorosas? Vamos pensar na autenticação multifator. Cada vez mais, está claro que a MFA apresenta um excelente equilíbrio entre segurança e conveniência quando se trata de proteger nossos dados.

No entanto, ainda existem pontos problemáticos. A liderança pode acreditar que pedir às pessoas para pensar além da senha é um passo muito longe. Mas cerca de dois terços das pessoas que conhecem a MFA a usam regularmente, de acordo com nosso relatório de 2023 Oh Behave. E 94% das pessoas que a ativaram continuam a usá-la. Nossos dados não sustentam a visão de que a MFA é pedir demais às pessoas. Feito corretamente, é rápido e conveniente.

À medida que a adoção da autenticação multifator (MFA) aumenta, a Salesforce é um ótimo estudo de caso recente sobre como implementar a MFA em uma ampla base de clientes que abrange muitos setores. 

Em 1º de fevereiro de 2022, a Salesforce começou a exigir que todos os clientes usassem a MFA ao acessar seus produtos, que incluem plataformas B2B populares como Sales Cloud, Service Cloud e Einstein. 

Perguntamos à Salesforce por que decidiram exigir a adoção da MFA para todos os seus produtos, quais foram os desafios dessa iniciativa e como o requisito está funcionando dois anos após ser implementado pela primeira vez. 

MFA: Aumentando a segurança para todos

A exigência de MFA surgiu inicialmente da necessidade de segurança além de uma senha. Como tecnologia, as senhas remontam à década de 1960 e não são mais um meio eficaz de proteger contas. Uma senha é um sistema de fator único para autenticação, enquanto a autenticação multifator (como o nome sugere) requer várias formas de informações de identificação. Normalmente, isso inclui uma senha e outro fator, que pode ser uma impressão digital, entrar em um aplicativo de autenticação autônomo ou um novo sistema de chave de acesso. 

"A confiança é nosso valor número um, e não há nada mais importante do que a confiança e o sucesso dos nossos clientes. Acreditamos que proteger os dados dos clientes é uma responsabilidade compartilhada entre a Salesforce e nossos clientes," explicou Lynn Simons, diretora sênior de engajamento de segurança da Salesforce. "À medida que os ciberataques se tornam mais comuns, as senhas não fornecem mais salvaguardas suficientes contra o acesso não autorizado a contas." 

A MFA oferece uma camada extra de proteção contra ameaças comuns de segurança, como hacking, preenchimento de credenciais e sequestros de contas. Implementar a MFA aumenta a segurança tanto para o cliente quanto para a Salesforce.

A estratégia

Exigir a MFA em todos os seus produtos não só exigiu conhecimento técnico, mas também significou que a Salesforce teve que convencer as partes interessadas de que era a coisa certa a fazer. Felizmente, as evidências dos benefícios da MFA são esmagadoras – a Agência de Segurança Cibernética & Infraestrutura dos Estados Unidos (CISA) afirma que usar MFA em uma conta reduz a chance de um hack em 99%!

"A Salesforce acredita que a MFA é um componente crítico para proteger o acesso às contas," continuou Lynn.

Embora exista um potencial risco de comprometimento da senha, é altamente improvável que um invasor também consiga adivinhar ou hackear um código do aplicativo de autenticação do usuário.

Desde 1º de fevereiro de 2022, os clientes da Salesforce são obrigados a usar a MFA para acessar os produtos Salesforce. Isso significa que todos os usuários internos que fazem login nos produtos Salesforce, incluindo soluções de parceiros, através da interface do usuário devem usar a MFA em cada login.

Importante, os produtos Salesforce incluem funcionalidades de MFA sem custo adicional.

Usando os fatores mais seguros

Embora acreditemos que qualquer forma de MFA é melhor do que nenhuma, a verdade é que alguns fatores são mais seguros do que outros. Sua impressão digital é mais difícil de comprometer do que uma senha fácil de quatro caracteres, por exemplo. Com a iniciativa da MFA, a Salesforce optou por apoiar os métodos mais seguros. 

"A Salesforce oferece soluções de MFA que equilibram segurança forte e conveniência para o usuário," disse Lynn. 

Os métodos de verificação apoiados pela Salesforce incluem:

• Aplicativo Authenticator da Salesforce: Esta opção de aplicativo móvel proprietário foi criada como uma solução rápida e sem atritos de notificações push simples que se integram ao processo de login da Salesforce.

• Aplicativos Autenticadores de Terceiros: Você também pode cumprir o requisito de MFA usando outros aplicativos móveis independentes, especificamente aplicativos que geram códigos temporários com base no algoritmo de senha única (TOTP) baseado em tempo da OATH.

• Chaves de Segurança: Estes são dispositivos físicos que usam criptografia de chave pública – os smartphones mais populares hoje têm essas chaves embutidas. 

• Autenticadores Embutidos: Um serviço de autenticador embutido em dispositivos móveis ou desktops, como Windows Hello, Face ID ou Touch ID. Esta opção muitas vezes envolve biometria, identificadores difíceis de falsificar que são exclusivos para você, como sua impressão digital ou rosto.

Alguns segundos fatores não são tão fortes e são inerentemente mais vulneráveis à interceptação, falsificação e outros ataques. Por causa disso, a Salesforce decidiu contra o uso destes como opções de MFA:

• Perguntas de segurança: Podem ser adivinhadas por informações publicamente disponíveis sobre o usuário. 

• Códigos de uso único enviados por e-mail, mensagem de texto ou ligação telefônica: Se uma dessas contas estiver comprometida, sua utilidade para MFA é inválida. Além disso, esses métodos são mais facilmente comprometidos por ataques de fadiga de MFA. 

Se você exigir a MFA, concordamos que o melhor é usar as opções mais fortes disponíveis atualmente.

Resultados

A partir de 2024, a Salesforce tem uma taxa de adesão de 100% entre os seus funcionários, confirmou Lynn. Todos os produtos de software da Salesforce, chamados de nuvens, oferecem MFA, e quase todos ajudaram os clientes a proteger seus dados cumprindo ou habilitando automaticamente a MFA para seus usuários.

"Graças à parceria de nossos clientes e seu compromisso com a proteção do acesso às contas dos usuários, o programa para habilitar automaticamente a MFA tem sido extremamente bem-sucedido," observou Lynn.

Conclusão: Segurança é um esporte de equipe

Pelos últimos 20 anos, a NCA tem estado em uma missão para capacitar todos online a aumentar a segurança digital. Todos temos um papel – empresas, governos, sites e indivíduos. O sucesso do requisito da MFA da Salesforce mostra como uma mudança positiva pode ter efeitos em cadeia por todo o mundo – estima-se que 150.000 empresas utilizem a Salesforce em todo o globo, e agora todos os seus funcionários e clientes usam MFA. 

"Segurança é um esporte de equipe – e só é eficaz quando todos estão na mesma página," sugeriu Lynn. 

Melhores práticas

Lynn recomendou algumas melhores práticas para empresas que tentam implementar uma estratégia de MFA por longo prazo.

• Entenda sua força de trabalho: Para líderes de TI, o primeiro passo inclui entender a força de trabalho da empresa, suas interações com a tecnologia essencial e onde há potenciais vulnerabilidades no sistema.

• Ofereça opções que se encaixem nos fluxos de trabalho existentes: Em vez de implementar uma única peça de tecnologia para todas as equipes, melhorar as soluções existentes e oferecer soluções que atendam a uma variedade de fluxos de trabalho tornará mais provável que a MFA funcione para todos. Um exemplo disso seria a Salesforce lançar seu próprio aplicativo de autenticação que se integra aos seus produtos. 

• Torne mais fácil para os administradores: Invista em desenvolver os materiais de aprendizado corretos e suporte de habilitação para que aqueles que gerenciam a MFA possam navegar na transição com facilidade. 

Para mais informações, Lynn recomenda este módulo na Trailhead, a plataforma gratuita de aprendizado online da Salesforce. A NCA também possui muitos recursos sobre MFA.