Construir um futuro mais seguro pode parecer arriscado: os clientes se adaptarão facilmente a restrições mais rígidas? Vamos pensar na autenticação multifator. Cada vez mais, fica claro que a MFA apresenta um excelente equilíbrio entre segurança e conveniência quando se trata de proteger nossos dados.

No entanto, ainda existem pontos críticos. A liderança pode acreditar que pedir às pessoas para pensar além da senha é um passo longe demais. Mas cerca de dois terços das pessoas que estão cientes da MFA a usam regularmente, de acordo com nosso relatório de 2023 Oh Behave. E 94% das pessoas que a habilitaram continuam a usá-la. Nossos dados não apoiam a visão de que MFA é demais pedir às pessoas. Feita corretamente, é rápida e conveniente.

À medida que a adoção da autenticação multifator (MFA) aumenta, a Salesforce é um ótimo estudo de caso recente sobre como implementar a MFA em uma vasta base de clientes que abrange muitos setores. 

Em 1º de fevereiro de 2022, a Salesforce começou a exigir que todos os clientes usassem MFA ao acessar seus produtos, que incluem plataformas B2B populares como Sales Cloud, Service Cloud e Einstein. 

Perguntamos à Salesforce por que decidiram exigir a adoção da MFA para todos os seus produtos, quais foram os desafios com essa iniciativa e como a exigência está funcionando dois anos após sua implementação.  

MFA: Aumentando a segurança para todos

A exigência de MFA surgiu inicialmente da necessidade de segurança além de uma senha. Como tecnologia, as senhas remontam aos anos 1960, e não são mais um meio eficaz de proteger contas. Uma senha é um sistema de fator único para autenticação, enquanto a autenticação multifator (como o nome sugere) requer múltiplas formas de identificação. Geralmente, isso inclui uma senha e outro fator, que pode ser uma impressão digital, assinatura em um aplicativo de autenticação autônomo ou um novo sistema de chave de acesso. 

"Confiança é nosso valor número um, e não há nada mais importante do que a confiança e o sucesso de nossos clientes. Acreditamos que proteger os dados dos clientes é uma responsabilidade compartilhada entre a Salesforce e nossos clientes," explicou Lynn Simons, diretora sênior de engajamento de segurança da Salesforce. "À medida que os ataques cibernéticos se tornam mais comuns, as senhas não oferecem mais salvaguardas suficientes contra o acesso não autorizado a contas." 

A MFA fornece uma camada extra de proteção contra ameaças de segurança comuns, como phishing, preenchimento de credenciais e tomada de contas. Implementar a MFA aumenta a segurança tanto para o cliente quanto para a Salesforce.

A estratégia

Exigir a MFA em todos os seus produtos não só exigiu conhecimento técnico, mas também significou que a Salesforce teve que convencer as partes interessadas de que era a coisa certa a fazer. Felizmente, a evidência dos benefícios da MFA é esmagadora – a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) diz que usar MFA reduz a chance de um hack em 99%!

"A Salesforce acredita que a MFA é um componente crítico para proteger o acesso à conta," continuou Lynn.

Embora haja um risco potencial de comprometimento de senha, é altamente improvável que um agente mal-intencionado também consiga adivinhar ou hackear um código do aplicativo de autenticação do usuário.

Desde 1º de fevereiro de 2022, os clientes da Salesforce são obrigados a usar MFA para acessar produtos da Salesforce. Isso significa que todos os usuários internos que se logarem em produtos da Salesforce, incluindo soluções de parceiros, através da interface do usuário precisam usar MFA em cada login.

Importante, os produtos Salesforce incluem funcionalidade MFA sem custo adicional.

Usando os fatores mais seguros

Embora acreditemos que qualquer forma de MFA é melhor do que nenhuma MFA, a verdade é que alguns fatores são mais seguros que outros. Sua impressão digital é mais difícil de comprometer do que uma senha fácil de quatro caracteres, por exemplo. Com sua iniciativa MFA, a Salesforce optou por apoiar os métodos mais seguros. 

"A Salesforce oferece soluções de MFA que equilibram segurança forte e conveniência do usuário," disse Lynn. 

Métodos de verificação suportados pela Salesforce incluem:

• Aplicativo Salesforce Authenticator: Esta opção de aplicativo móvel proprietário foi criada como uma solução rápida e sem atritos de notificações push simples que se integram ao processo de login da Salesforce.

• Aplicativos de Autenticação de Terceiros: Você também pode cumprir o requisito de MFA usando outros aplicativos móveis autônomos, especificamente aplicativos que geram códigos temporários com base no algoritmo de senha única baseada em tempo (TOTP) da OATH.

• Chaves de Segurança: Estes são dispositivos físicos que utilizam criptografia de chave pública - os smartphones mais populares de hoje têm essas chaves integradas. 

• Autenticadores Integrados: Um serviço autenticador integrado de desktop ou dispositivo móvel, como Windows Hello, Face ID ou Touch ID. Esta opção geralmente envolve biometria, identificadores difíceis de falsificar que são únicos para você, como sua impressão digital ou rosto.

Alguns segundos fatores não são tão fortes e são inerentemente mais vulneráveis à interceptação, falsificação e outros ataques. Por isso, a Salesforce decidiu contra o uso destes como opções de MFA:

• Perguntas de segurança: Podem ser adivinhadas por informações publicamente disponíveis sobre o usuário. 

• Códigos únicos enviados por e-mail, mensagem de texto ou chamada telefônica: Se uma dessas contas for comprometida, sua utilidade para MFA é nula. Além disso, esses métodos são mais facilmente comprometidos por ataques de fadiga de MFA. 

Se você exige a MFA, concordamos que é melhor usar as opções mais fortes disponíveis atualmente.

Resultados

Em 2024, a Salesforce tem uma taxa de inscrição de 100% entre seus funcionários, confirmou Lynn. Todos os produtos de software da Salesforce, chamados de clouds, oferecem MFA, e quase todos ajudaram os clientes a proteger seus dados implementando ou ativando automaticamente a MFA para seus usuários.

"Graças à parceria de nossos clientes e seu compromisso em proteger o acesso às contas de usuário, o programa para habilitar automaticamente a MFA tem sido extremamente bem-sucedido," observou Lynn.

Conclusão: Segurança é um esporte de equipe

Nos últimos vinte anos, a NCA tem estado em uma missão para capacitar todos online a aumentar a segurança digital. Todos temos um papel – empresas, governos, sites e indivíduos. O requisito bem-sucedido de MFA da Salesforce mostra como uma mudança positiva pode ter efeitos de onda por todo o mundo – estima-se que 150.000 empresas usem Salesforce em todo o globo, e agora todos os seus funcionários e clientes usam MFA. 

"Segurança é um esporte de equipe – e só é eficaz quando todos estão na mesma página," sugeriu Lynn. 

Melhores práticas

Lynn recomendou algumas melhores práticas para empresas que tentam implementar uma estratégia de MFA a longo prazo.

• Entenda sua força de trabalho: Para líderes de TI, o primeiro passo inclui entender a força de trabalho da empresa, suas interações com a tecnologia essencial e onde existem potenciais vulnerabilidades no sistema.

• Ofereça opções que se encaixem em fluxos de trabalho existentes: Em vez de implementar uma única peça de tecnologia para todas as equipes, aprimorar soluções existentes e oferecer soluções que se adequam a uma variedade de fluxos de trabalho tornará mais provável que a MFA funcione para todos. Um exemplo disso seria a Salesforce lançar seu próprio aplicativo de autenticação que se integra com seus produtos. 

• Facilite para administradores: Invista em desenvolver os materiais de aprendizado certos e suporte de habilitação para que aqueles que gerenciam a MFA naveguem na transição sem problemas. 

Para mais informações, Lynn recomenda este módulo no Trailhead, a plataforma de aprendizado online gratuita da Salesforce. A NCA também tem muitos recursos sobre MFA.