Construir um futuro mais seguro pode parecer arriscado: os clientes adaptar-se-ão facilmente a guardrails mais rigorosos? Pensemos na autenticação multifator. Cada vez mais, é evidente que a MFA oferece um excelente equilíbrio entre segurança e conveniência quando se trata de proteger os nossos dados.

Os pontos de dor persistem, contudo. A liderança pode acreditar que pedir às pessoas para irem além da palavra-passe é um passo demasiado longe. Mas cerca de dois terços das pessoas que conhecem a MFA usam-na regularmente, segundo o nosso relatório de 2023 Oh Behave. E 94% das pessoas que a ativaram continuam a utilizá-la. Os nossos dados não apoiam a ideia de que pedir MFA às pessoas seja excessivo. Feita corretamente, é rápida e conveniente.

À medida que a adoção da autenticação multifator (MFA) aumenta, a Salesforce é um ótimo caso de estudo recente sobre como implementar MFA numa vasta base de clientes que abrange muitos setores. 

Em 1 de fevereiro de 2022, a Salesforce começou a exigir que todos os clientes utilizassem MFA ao aceder aos seus produtos, que incluem plataformas B2B populares como Sales Cloud, Service Cloud e Einstein. 

Perguntámos à Salesforce porque decidiu exigir a adoção de MFA em todos os seus produtos, quais foram os desafios desta iniciativa e como está a funcionar a exigência dois anos após ter sido implementada pela primeira vez.  

MFA: Aumentar a segurança para todos

A exigência de MFA surgiu inicialmente da necessidade de segurança para além de uma palavra-passe. Como tecnologia, as palavras-passe remontam à década de 1960 e já não são um meio eficaz de proteger contas. Uma palavra-passe é um sistema de um só fator para autenticação, enquanto a autenticação multifator (como o nome sugere) requer várias formas de informação de identificação. Normalmente, isto inclui uma palavra-passe e outro fator, que pode ser uma impressão digital, iniciar sessão numa aplicação de autenticação autónoma ou um novo sistema de chaves de acesso. 

"A confiança é o nosso valor número um, e não há nada mais importante do que a confiança e o sucesso dos nossos clientes. Acreditamos que proteger os dados dos clientes é uma responsabilidade partilhada pela Salesforce e pelos nossos clientes," explicou Lynn Simons, diretora sénior de envolvimento de segurança na Salesforce. "À medida que os ciberataques se tornam mais comuns, as palavras-passe já não oferecem salvaguardas suficientes contra o acesso não autorizado às contas." 

A MFA fornece uma camada extra de proteção contra ameaças comuns à segurança, como phishing, credential stuffing e tomada de contas. Implementar MFA aumenta a segurança tanto para o cliente como para a Salesforce.

A estratégia

Exigir MFA em todos os seus produtos não só exigiu conhecimentos técnicos, como também significou que a Salesforce teve de convencer as partes interessadas de que era a coisa certa a fazer. Felizmente, as provas dos benefícios da MFA são esmagadoras – a Cybersecurity & Infrastructure Security Agency (CISA) diz que usar MFA numa conta reduz a probabilidade de um ataque informático em 99%!

"A Salesforce acredita que a MFA é um componente crítico para proteger o acesso às contas," continuou Lynn.

Embora exista um risco potencial de comprometimento da palavra-passe, é altamente improvável que um agente malicioso também consiga adivinhar ou piratear um código da aplicação de autenticação do utilizador.

Desde 1 de fevereiro de 2022, os clientes da Salesforce são obrigados a usar MFA para aceder aos produtos da Salesforce. Isto significa que todos os utilizadores internos que iniciam sessão nos produtos da Salesforce, incluindo soluções de parceiros, através da interface de utilizador, têm de usar MFA em cada início de sessão.

Importa referir que os produtos da Salesforce incluem funcionalidade MFA sem custo adicional.

Utilizar os fatores mais seguros

Embora acreditemos que qualquer forma de MFA é melhor do que nenhuma MFA, a verdade é que alguns fatores são mais seguros do que outros. A sua impressão digital é mais difícil de comprometer do que uma palavra-passe fácil de quatro caracteres, por exemplo. Com a sua iniciativa de MFA, a Salesforce optou por suportar os métodos mais seguros. 

"A Salesforce oferece soluções de MFA que equilibram uma segurança forte e a conveniência para o utilizador," disse Lynn. 

Os métodos de verificação suportados pela Salesforce incluem:

• Aplicação Salesforce Authenticator: Esta opção de aplicação móvel proprietária foi criada como uma solução rápida e sem fricção de simples notificações push que se integram no processo de início de sessão da Salesforce.

• Aplicações autenticadoras de terceiros: Também pode cumprir a exigência de MFA usando outras aplicações móveis autónomas, especificamente aplicações que geram códigos temporários com base no algoritmo de palavra-passe única baseada em tempo (TOTP) da OATH.

• Chaves de segurança: Estes são dispositivos físicos que utilizam criptografia de chave pública – os smartphones mais populares de hoje têm estas chaves incorporadas. 

• Autenticadores integrados: Um serviço autenticador incorporado num dispositivo de desktop ou móvel, como Windows Hello, Face ID ou Touch ID. Esta opção envolve frequentemente biometria, identificadores difíceis de falsificar e que são únicos para si, como a sua impressão digital ou rosto.

Alguns segundos fatores não são tão fortes e são, por natureza, mais vulneráveis à interceção, falsificação e outros ataques. Por isso, a Salesforce decidiu não utilizar estes como opções de MFA:

• Perguntas de segurança: Podem ser adivinhadas com base em informação publicamente disponível sobre o utilizador. 

• Códigos de uso único enviados por e-mail, mensagem de texto ou chamada telefónica: Se uma destas contas for comprometida, então a utilidade da MFA é nula. Além disso, estes métodos são mais facilmente comprometidos por ataques de fadiga de MFA. 

Se tiver de exigir MFA, concordamos que mais vale usar as opções mais fortes atualmente disponíveis.

Resultados

Em 2024, a Salesforce tem uma taxa de adesão de 100% entre os seus funcionários, confirmou Lynn. Todos os produtos de software da Salesforce, chamados clouds, oferecem MFA, e quase todos ajudaram os clientes a proteger os seus dados ao impor ou ativar automaticamente a MFA para os seus utilizadores.

"Graças à parceria dos nossos clientes e ao seu compromisso em salvaguardar o acesso às contas dos utilizadores, o programa para ativar automaticamente a MFA tem sido extremamente bem-sucedido," observou Lynn.

Conclusão: A segurança é um desporto de equipa

Durante as últimas duas décadas, a NCA tem estado numa missão para capacitar todos os que estão online a aumentar a segurança digital. Todos temos um papel– empresas, governos, sites e indivíduos. A exigência bem-sucedida de MFA da Salesforce mostra como uma mudança positiva pode ter efeitos em cadeia em todo o mundo – estima-se que 150.000 empresas utilizem a Salesforce em todo o mundo, e agora todos os seus funcionários e clientes usam MFA. 

"A segurança é um desporto de equipa – e só é eficaz quando todos estão na mesma página," sugeriu Lynn. 

Boas práticas

Lynn recomendou algumas boas práticas para as empresas que tentam implementar uma estratégia de MFA a longo prazo.

• Compreenda a sua força de trabalho: Para os líderes de TI, o primeiro passo inclui compreender a força de trabalho da empresa, as suas interações com a tecnologia essencial e onde existem potenciais vulnerabilidades no sistema.

• Ofereça opções que se encaixem nos fluxos de trabalho existentes: Em vez de implementar uma única peça de tecnologia para todas as equipas, melhorar as soluções existentes e oferecer soluções adequadas a uma variedade de fluxos de trabalho tornará mais provável que a MFA funcione para todos. Um exemplo disto seria a Salesforce lançar a sua própria aplicação de autenticação que se integra com os seus produtos. 

• Torne mais fácil para os administradores: Invista no desenvolvimento dos materiais de aprendizagem certos e no apoio à capacitação para ajudar os responsáveis pela MFA a navegar a transição sem problemas. 

Para mais informações, Lynn recomenda este módulo na Trailhead, a plataforma gratuita de aprendizagem online da Salesforce. A NCA também tem muitos recursos sobre MFA.