Nos últimos anos, os ataques cibernéticos aumentaram significativamente. Violações de dados e ataques de phishing se tornaram ameaças comuns para indivíduos e empresas. De acordo com o Internet Crime Complaint Center do FBI, as organizações perderam US$ 12,5 bilhões para crimes cibernéticos somente em 2023, um aumento de quase US$ 10 bilhões em relação a 2019.
Sem uma maneira atual de proteger a recuperação de conta e o registro de autenticador contra ataques de phishing, criamos uma solução personalizável para preencher essas lacunas e proteger nossos clientes.
Aplicamos a garantia de autenticação de dois fatores (2FA) para inscrição e cancelamento de inscrição de autenticadores. Embora isso apresente uma camada sólida de segurança, ainda permite a possibilidade de phishing.
A recuperação de conta e as operações de senha self-service são controladas por meio de regras de política de senha. A implementação atual permite apenas uma personalização de garantia limitada e, novamente, não há como garantir a resistência ao phishing.
Qual é a política de gerenciamento de contas da Okta?
Com todas as personalizações e recursos das políticas de autenticação, pensamos: "Por que não estendê-las aos fluxos de recuperação e registro?" A Okta fez muitos investimentos no aumento da capacidade de personalização e segurança das políticas de autenticação. Reutilizar esses recursos pareceu uma obviedade. Apresentamos a política de gerenciamento de contas Okta (OAMP).
Agora, permitimos que os administradores definam regras que neguem operações de autenticação se as restrições da política não puderem ser satisfeitas. Anteriormente, os administradores não podiam negar explicitamente o registro ou a exclusão de autenticadores por meio de dispositivos não gerenciados ou para usuários que não atendiam aos requisitos de garantia personalizados.
Também aproveitamos e expandimos a Linguagem de Expressão Okta (EL) existente para dar aos administradores controles granulares ao definir regras. As regras atuais da política de senha não podem suportar expressões EL personalizadas. Com o OAMP, você pode permitir a recuperação de conta de um dispositivo gerenciado por meio de um autenticador resistente a phishing como o Okta FastPass.
Integração e recuperação seguras
Utilizando os recursos recém-adicionados do Okta EL, os administradores podem personalizar diferentes restrições de garantia para diferentes ações. Por exemplo, esta expressão EL — accessRequest.operation == ‘recover’ || accessRequest.operation == ‘unlockAccount’ — se aplicará apenas a operações que envolvem a redefinição de uma senha ou o desbloqueio de uma conta.
Agora, é possível integrar com segurança um novo usuário aproveitando a opção de verificação de identidade no OAMP, como visto com a nova opção “Verificação de identidade”. Um usuário em processo de integração será solicitado a comprovar sua identidade com um documento de identidade válido emitido pelo governo e uma selfie de verificação de vivacidade. Isso fornece um nível extra de garantia antes que um usuário integre sua conta e registre autenticadores.
Fornecedores terceirizados, como a Persona, podem ser configurados em uma organização Okta e usados em uma regra OAMP para impor a verificação do usuário antes de qualquer operação de gerenciamento de conta ou autenticador. A comprovação de identidade também pode ser estendida para casos de uso de recuperação, onde os usuários podem ser obrigados a comprovar a identidade antes de modificar seus autenticadores.
Segurança aprimorada desde o primeiro dia
Agora que os administradores podem verificar com segurança os próprios usuários desde o primeiro dia, podemos aplicar fortes controles de segurança ao longo de toda a sua jornada. Com o aumento dos ataques de engenharia social, proteger todos os fluxos com resistência a phishing é crucial. A política de gerenciamento de contas da Okta capacita os administradores a realizar isso.
Saiba mais sobre a política de gerenciamento de contas Okta.
