Como implementar OTPs na sua empresa de forma estratégica?

Você sabia que, segundo o fraudômetro da Serasa Experian, até a metade de junho de 2024, o número de tentativas de fraude de identidade já bateu a marca de 4,6 milhões? Diante do cenário, a necessidade de tomar medidas de prevenção ao roubo de dados vem sendo cada vez mais discutida pelas empresas.

Criptografia de ponta a ponta, controle de acesso e autenticação de múltiplos fatores são algumas das formas mais seguras de gerenciar informações sensíveis. Ao mesmo tempo, as OTPs (senhas de uso único) — que são códigos de autenticação válidos para apenas uma única sessão de login ou transação — também se destacam.

No conteúdo de hoje, nós, da Serasa Experian, decidimos tratar do impacto de uma OTP para empresas que lidam diariamente com a ameaça de vazamento de dados de clientes, parceiros comerciais e todos os seus stakeholders. Continue conosco!

O que são OTPs e por que são importantes?

Também chamada de senha de uso único, a OTP (One-Time Password) é um código de autenticação multifatorial gerado aleatoriamente por um sistema. Após um certo período ou depois da sua utilização, ele não possui mais validade, garantindo que não possa ser reutilizado por terceiros mal-intencionados.

Normalmente, a OTP é enviada por um aplicativo de autenticação, e-mail, número de telefone pessoal do indivíduo ou token, valendo somente para uma sessão de login ativa ou transação. Em outras palavras, depois de fechada a janela ou encerrada a atividade, o usuário é automaticamente desconectado e perde todo o acesso liberado anteriormente.

O conceito se destaca por oferecer uma camada de segurança que vai além das senhas tradicionais. Mesmo que ela seja comprometida, um invasor precisaria de outro código para acessar a conta, tornando o processo de invasão significativamente mais difícil. Consequentemente, isso previne fraudes em transações financeiras e acessos a informações sensíveis.

Além disso, outro ponto de destaque é que o uso de OTPs ajuda as organizações a cumprirem com as regulamentações vigentes sobre a proteção de dados, como a LGPD. Isso é especialmente importante para empresas que lidam com informações pessoais e financeiras dos usuários, já que passam a utilizar um nível a mais de proteção e conformidade regulatória.

Por fim, mas não menos importante, salientamos que esse recurso pode ser de dois tipos — OTP baseada em HASH (HOTP) e OTP baseada em tempo (TOTP). Além disso, apesar de ser um tipo de MFA (Múltiplo Fator de Autenticação), existem diferenças entre OTP e 2FA. Entenda melhor a seguir.

Como as OTPs funcionam?

As OTPs funcionam gerando códigos aleatórios e temporários que são enviados ao usuário em tempo real por meio de canais seguros, como SMS, e-mail, WhatsApp ou aplicativos autenticadores. Eles também podem ser obtidos em tokens físicos, como chaves USB, Bluetooth e cartões inteligentes. Mas como isso é feito na prática?

O processo para uma OTP baseada em hash (HOTP) começa pela geração do código com um algoritmo de hash seguro (como SHA-1 ou SHA-256). Esse algoritmo é uma ferramenta matemática que transforma uma grande quantidade de dados em uma cadeia de caracteres menor e de tamanho fixo, chamada de hash ou valor de hash, funcionando como uma “impressão digital” única dos dados originais.

Depois, a chave secreta compartilhada entre o usuário e o servidor é combinada com um contador crescente para gerar cada senha individualmente, incrementada a cada novo código solicitado, garantindo que sejam únicos.

Cada HOTP é válida até que seja usada ou até que uma nova seja solicitada. Isso significa que, em teoria, um código HOTP interceptado poderia ser usado para login em um momento posterior. Os algoritmos de hash são usados em diversas áreas, como blockchain, criptografia e filtragem de spam.

Por outro lado, a geração da OTP baseada em tempo (TOTP) é similar à HOTP, ou seja, utiliza um algoritmo de hash seguro para gerar o código. No entanto, a chave secreta compartilhada entre o usuário e o servidor é combinada com a hora atual para gerar códigos únicos. A sincronização entre o dispositivo do usuário e o servidor é crucial para garantir que a hora utilizada seja a mesma.

Cada TOTP é válida por um tempo curto (geralmente, 30 ou 60 segundos). Após esse período, ela expira e se torna inválida, mesmo que nunca tenha sido usada. Por esse motivo, a OTP baseada em TOTP é mais segura do que a HOTP, pois um código interceptado não pode ser usado posteriormente.

Passos para implementar OTPs de forma estratégica

Se você quer ter a segurança da redução de custos associados à resolução das tentativas de roubo de identidade, bem como não correr o risco de ter a imagem reputacional da sua organização depreciada, é essencial implementar OTPs de forma estratégica.

Afinal, os resultados também se mostram positivos quando falamos dos ataques de repetição. Eles se caracterizam pela interceptação e reutilização de senhas estáticas, que podem ser usadas por criminosos na engenharia social para acessar contas indevidamente.

As OTPs, por outro lado, eliminam esse risco, pois cada código é único e válido por apenas uma sessão, o que as torna praticamente impossíveis de serem reutilizadas. Então, trouxemos aqui algumas formas de fazer essa implementação, confira:

1. Avalie as necessidades da empresa

O primeiro passo para implementar OTPs de forma estratégica é realizar uma avaliação profunda sobre as necessidades da empresa, identificando as áreas e os processos que mais se beneficiarão da segurança multifatorial. Para isso, você deve:

• Priorizar áreas em que o acesso a dados confidenciais ou sistemas críticos é realizado, como bancos de dados financeiros, registros médicos ou plataformas de e-commerce;
• Proteger transações online, como pagamentos, transferências bancárias e compras com cartão de crédito, utilizando OTPs para confirmar a identidade do usuário;
• Reforçar a segurança do acesso remoto a sistemas corporativos, exigindo OTPs para autenticação adicional além de senhas tradicionais;
• Considerar a implementação OTPs em aplicativos que armazenam e processam dados sensíveis, como informações pessoais, propriedade intelectual ou segredos comerciais.

Depois, avalie a necessidade de OTPs para login de usuários em sistemas internos, portais web e aplicativos móveis. Utilize-as para proteger o processo de recuperação de senha, garantindo que apenas o usuário legítimo possa redefini-la.

Também é interessante fazer essa implementação como uma camada adicional de segurança para aprovar transações financeiras e outras atividades críticas, bem como controlar o acesso a recursos específicos dentro de sistemas e aplicativos, restringindo o acesso a usuários autorizados.

2. Escolha a tecnologia adequada

Com as áreas e os processos críticos mapeados, é hora de escolher a tecnologia de OTP mais adequada para as necessidades da sua empresa. Alguns fatores que devem ser considerados durante a escolha são o custo, a facilidade de uso, a integração, a segurança e a escalabilidade. Confira:

• Os custos avaliados podem ser os de licenciamento, implementação e manutenção da solução de OTP escolhida;
• Pode ser útil investir em uma tecnologia amigável para usuários, com interface intuitiva e processo de autenticação simples;
• Verifique se a solução de OTP se integra facilmente com os sistemas e os aplicativos existentes da empresa;
• Priorize soluções que ofereçam alto nível de segurança, com protocolos de criptografia robustos e mecanismos de proteção contra ataques;
• Escolha uma tecnologia que possa suportar o crescimento futuro da organização e o aumento no número de usuários.

As soluções MFA combinam OTPs com outros métodos de autenticação, como senhas e biometria facial, para aumentar ainda mais a segurança. No entanto, independentemente do tipo de tecnologia escolhida, teste-a rigorosamente antes da implementação.

3. Faça o planejamento da implementação

Agora, é hora de elaborar um plano detalhado para implementar as OTPs no dia a dia da organização. O planejamento deve abranger a definição de um escopo, um cronograma realista, uma equipe responsável, comunicação e treinamento, monitoramento e suporte, além de revisões e melhorias.

Determine quais áreas, processos e usuários serão incluídos na implementação inicial do recurso. Depois, estabeleça um cronograma realista para a implementação, considerando o tempo necessário para treinamento, testes, integração e comunicação.

Posteriormente, designe uma equipe responsável pela implementação, incluindo especialistas em segurança da informação, TI e representantes dos departamentos envolvidos. Crie também um plano de comunicação para informar os usuários sobre a mudança e oferecer treinamento sobre como usar a solução.

Por fim, estabeleça um processo de monitoramento para identificar e resolver problemas durante e após a implementação. Também não se esqueça de realizar revisões periódicas para avaliar a efetividade e identificar oportunidades de melhorias.

4. Treine e capacite seus colaboradores

Aqui, destacamos a importância de comunicar a necessidade das OTPs, demonstrar o uso da solução, criar materiais de apoio e oferecer suporte contínuo aos seus colaboradores:

• Explique os benefícios da segurança adicional e os riscos de não a utilizar, como o roubo de dados sensíveis por ataques de ransomwares;
• Realize workshops práticos para que os colaboradores aprendam a usar a solução em seus dispositivos de trabalho;
• Desenvolva guias, tutoriais e vídeos explicativos para consultas posteriores;
• Disponibilize canais de suporte para dúvidas e problemas técnicos dos colaboradores;
• Incentive os funcionários a adotarem a nova solução e a relatarem qualquer problema ou dúvida;
• Revise e atualize suas políticas de segurança periodicamente para garantir a proteção contínua.

Como fazer o monitoramento dos OTPs para melhoria contínua?

Para garantir a efetividade contínua das OTPs, é essencial fazer um monitoramento constante e sempre buscar por melhorias. Algumas técnicas que se destacam são a análise de relatórios de segurança, o monitoramento de logs, as auditorias periódicas, as pesquisas de mercados e até mesmo o feedback de usuários:

• Análise de relatórios de segurança: revise relatórios gerados pela solução, buscando padrões e tendências que indiquem atividades suspeitas, como tentativas falhas de login, bloqueios de usuários e códigos utilizados;
• Monitoramento de logs: acompanhe os logs de acesso para identificar anomalias, como horários ou locais incomuns, falhas de autenticação e padrões de uso inconsistentes;
• Realização de auditorias periódicas: contrate auditorias de segurança regulares para avaliar a robustez da implementação de OTPs, identificar vulnerabilidades e sugerir medidas de aprimoramento;
• Pesquisa de mercado: mantenha-se atualizado sobre as últimas tendências em segurança cibernética e soluções de OTPs, buscando novas tecnologias e recursos que possam otimizar a proteção da sua empresa;
• Feedback dos usuários: colete feedback dos colaboradores sobre a experiência de uso do recurso, identificando pontos de dificuldade e oportunidades de melhoria na usabilidade da solução.

Quanto às abordagens de melhoria contínua, trazemos como opção o estabelecimento de indicadores-chave de desempenho (KPIs) para avaliar a efetividade das OTPs, como taxa de falhas de login, número de tentativas de fraude e tempo médio de autenticação.

Os testes de penetração, como a simulação de ataques cibernéticos, são alternativas para avaliar a capacidade do sistema de OTPs resistir a tentativas de invasão e identificar pontos fracos que precisam ser corrigidos. Assim, você terá escopo para oferecer treinamentos regulares aos colaboradores sobre os riscos envolvidos e a importância do uso correto das senhas de uso único.

Por último, mantenha os recursos atualizados. Para isso, aplique patches de segurança e atualizações regularmente, pois eles garantem que seu sistema esteja protegido contra as últimas ameaças. Ah, e esteja atento às novas tendências em fraude e crimes financeiros para conseguir adaptar as medidas de segurança internas de acordo com as necessidades do seu negócio!

Proteja sua empresa com eficácia: conte com a Serasa Experian!

Nossos especialistas estão mais do que prontos para ajudar seu negócio a se blindar de tentativas de fraude e roubo de dados, e assim proporcionar a melhor experiência para seus clientes. Afinal, combinamos inteligência analítica com a maior e melhor base de dados da América Latina para proteger toda a sua jornada de interação digital.

Agora, com a incorporação das operações do AllowMe, player referência em análise de riscos em dispositivos, nossas ferramentas de MFA estão mais robustas e, além da OTP, nossos clientes podem autenticar os usuários com métodos como push, e-mail, SMS e voz.

Seja para bancos, fintechs, seguradoras, varejo, e-commerce ou aplicativos, a Serasa Experian ajuda a proteger sua empresa contra os cibercriminosos. Fique seguro com um processo contínuo de autenticação multifatorial e orquestração de informações de ponta a ponta nas etapas de onboarding, login ou transacional com a tecnologia OTP!