The Consumer Authentication Strenght Maturity Model (CASMM)

Consumer Authentication Strength Maturity Model (CASMM). Visualize o nível atual de higiene na Internet de um usuário e veja como melhorá-lo.

Se você sabe alguma coisa sobre segurança na Internet, ou tem responsabilidade em aumentar o nível de segurança da sua empresa, então você provavelmente gasta muito do seu tempo ajudando as pessoas a melhorar a higiene de suas senhas.

As pessoas gostam de subir no ranking, então vamos usar isso!

Esta página é uma tentativa de criar um modelo visual e fácil de usar para ajudá-lo a ter essa conversa.

The Consumer Authentication Strength Maturity Model (CASMM)
Image: The Consumer Authentication Strength Maturity Model (CASMM) V6

Como usar este modelo

  1. Mostre-os onde estão: A primeira maneira de usar este modelo é simplesmente perguntar ao usuário sobre seu comportamento atual e mostrar-lhes onde ele se encontra dentro destes 8 níveis. Se você mostrar que eles estão no nível 1 ou 2, a combinação de ver quão baixos eles estão no gráfico e a cor pode transmitir alguma medida de preocupação.
    .
  2. Mostre-lhes como se mover: Em seguida, mostre-os como se mover para cima no modelo.

A maioria dos usuários de Internet não experientes vive nos níveis 1, 2 e 3. Esse grupo obtém o maior benefício ao passar para o nível 4, que é registrar todas as suas principais contas em um gerenciador de senhas como 1Password, Dashlane, Bitwarden ou outro. Isso significa usar o gerenciador de senhas para criar senhas novas e seguras e, em seguida, alterar as senhas desses serviços.

O próximo grande salto é ir do nível 4 para o nível 5 ou superior, que é a transição de Somente Senha para Multifactor Authentication (MFA). Essa transição é a coisa mais importante nesse estágio, então mesmo passar do nível 4 para o nível 5 é uma grande melhoria.

Uma vez no nível 5, o objetivo deve ser sair do nível 5 e entrar no 6, 7 ou 8. Isso ocorre porque o Nível 5 (MFA baseado em texto/SMS) é, de longe, a forma mais fraca de MFA no modelo.

Depois de chegar ao nível 6 (códigos MFA baseados em aplicativos), a principal fraqueza que você tem é a criação e o manuseio dos próprios códigos MFA. Isso significa que um código é enviado a você de alguma forma, que você deve passar para o serviço para autenticar. Isso é ruim porque ainda deixa a porta aberta para os invasores roubarem esse token por meio de phishing e vishing (phishing baseado em voz).

Na verdade, muitos pacotes de malware e phishing agora incluem não apenas campos para capturar o nome de usuário e a senha de alguém, mas também seu código MFA. E se você for um usuário não sofisticado, é muito provável que você forneça seu código MFA e sua senha.

É por isso que o estágio final de melhoria está nos níveis 7 e 8. Nesse estágio, não há códigos MFA para roubar! Nesses dois níveis, a autenticação MFA ocorre de forma transparente em segundo plano, de forma criptograficamente segura que nunca envolve o usuário. E como o usuário nunca vê um código, esse código não pode ser roubado.

Nos níveis finais, e especificamente no nível 8, existe uma proteção adicional em que as solicitações de autenticação só podem ser enviadas para uma URL específica que foi registrada quando o método de autenticação foi estabelecido. Em outras palavras, se eu configurar a autenticação de nível 8 (como WebAuthn) com o Gmail, quando eu autenticar com meu token FIDO2 ou meu sistema operacional, a autenticação em segundo plano só poderá ser enviada para o Gmail.

Resumo

  1. CASMM é uma referência visual projetada para ajudar pessoas preocupadas com segurança a ajudar seus amigos, familiares e colegas menos experientes a se protegerem.
    .
  2. A maior melhoria de segurança que se pode obter é passar de qualquer nível 3 e inferior para usar senhas fortes e exclusivas gerenciadas por um gerenciador de senhas (nível 4).
    .
  3. Você obtém uma autenticação cada vez mais forte à medida que passa de 4 para 5 e acima, de 5 para 6 ou 7 e, finalmente, de 7 para 8.
    .
  4. Não pule a etapa 4. É melhor mudar para senhas exclusivas e de qualidade armazenadas em um gerenciador antes de adicionar 2FA e, em seguida, tentar ir o mais alto possível nos níveis 5-8.

 

Créditos: Daniel Miessler

 

Deixe uma resposta:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.