Bagaimana modal satu menghilangkan kata sandi untuk karyawannya

San Francisco -Capital One berada di jalur untuk menghilangkan penggunaan kata sandi untuk sebagian besar aplikasi yang menghadap karyawan internal dan eksternal pada akhir tahun ini, mengakhiri perjalanan 20 tahun untuk menyederhanakan pengalaman otentikasi.

Salah satu efek utama dari secara drastis mengurangi penggunaan kata sandi oleh karyawan adalah bahwa ia akan “secara efektif menghilangkan seluruh kelas” serangan cyber terhadap perusahaan, menurut kepala petugas risiko teknologi bank, Andy Ozment. Secara khusus, pergi tanpa kata sandi akan menghilangkan serangan phishing, di mana penyerang mencuri kata sandi karyawan dan kode login satu kali, dan serangan menebak kata sandi.

Transisi datang dengan beberapa tanda bintang. Ozment mengatakan otentikasi pelanggan adalah sistem yang berbeda dan tidak dipengaruhi oleh transisi otentikasi karyawan ke tanpa kata sandi. Selain itu, tidak setiap aplikasi karyawan akan dapat mencapai status tanpa kata sandi.

Ozment mengatakan sekitar 11% dari aplikasi internal dan 35% aplikasi eksternal masih membutuhkan kata sandi. Aplikasi ini tidak akan mencapai status tanpa kata sandi baik karena kurangnya dukungan pihak ketiga atau karena karyawan perlu terus mengakses aplikasi ini bahkan setelah mereka meninggalkan rekening bank (misalnya 401 (k)).

Terlepas dari itu, transisi sebagian besar aplikasi ke tanpa kata sandi akan sangat meningkatkan profil risiko bank dengan menghilangkan kerentanan umum yang dieksploitasi dalam serangan cyber, dan itu akan membuat pengalaman karyawan lebih baik dengan menyederhanakan pengalaman masuk ke sebagian besar aplikasi.

Pengumuman dan perincian The Journey Capital One telah mengambil sejauh ini untuk sampai ke titik ini datang selama pembicaraan Senin oleh Ozment di RSAC Conference, sebuah konferensi cybersecurity terkemuka yang diadakan setiap tahun di San Francisco.

Kata sandi apa yang diganti?

Implementasi yang tepat dari otentikasi tanpa kata sandi bervariasi, tetapi kualitas yang dibagikan secara universal adalah tidak mengharuskan pengguna untuk menghafal kata sandi atau rahasia berbasis pengetahuan lainnya.

Untuk Capital One secara khusus, implementasi otentikasi tanpa kata sandi adalah otentikasi multi-faktor menggunakan sertifikat perangkat X.509 dan FIDO2 Passkey. Inilah artinya:

Sertifikat perangkat adalah file rahasia yang disimpan dengan aman di telepon atau komputer ketika pengguna pertama kali masuk ke akun mereka menggunakan perangkat itu. Sertifikat seperti kata sandi yang dihafalkan mesin, tetapi cukup besar sehingga tidak mungkin ditebak, dan setiap sertifikat unik – tidak seperti kata sandi, yang sering digunakan pengguna untuk aplikasi yang berbeda. X.509 adalah standar khusus untuk sertifikat ini.

Passkey hanyalah kredensial digital yang disimpan di perangkat. Ini bergantung pada kriptografi kunci publik, yang memungkinkan aplikasi untuk mengotentikasi identitas pengguna, selama mereka merahasiakan kredensial mereka. FIDO2 adalah standar terbuka yang mengatur cara kerja Passkeys, termasuk protokol yang harus diikuti oleh perangkat untuk merahasiakan kredensial ini.

Dalam beberapa kasus, perangkat membuka kunci passkeys menggunakan pin pendek yang harus dimasukkan pengguna. Meskipun pendekatan ini masih lebih aman daripada kata sandi karena PIN tidak meninggalkan perangkat, dan perangkat membuat passkey tidak terkunci pribadi, penggunaan pin telah menghasilkan keluhan di Capital One bahwa bank tidak benar -benar tidak menjadi kata sandi.

“(Karyawan dan kontraktor kami) diminta untuk memasukkan pin mereka, dan kemudian mereka membanjiri meja bantuan kami dengan, ‘Hei, saya seharusnya tidak memiliki kata sandi, tetapi saya hanya harus memasukkan kata sandi,'” kata Ozment.

“Saya akan mengatakan, saya tidak tahu bahwa saya akan sepenuhnya merangkul branding tanpa kata sandi lagi, tetapi saya tidak perlu di sini untuk memberi tahu Anda bahwa saya memiliki jawaban yang lebih baik,” kata Ozment. “Aku benar -benar akan mengingatnya jika kamu melakukan peluncuran bahwa kamu harus bernuansa dalam komunikasi itu.”

Jalan berliku menuju kata sandi

Perjalanan Capital One ke Otentikasi Tanpa Kata Sandi dimulai pada tahun 2005 dengan peluncuran Single Sign-On (SSO) untuk karyawan internal. Perusahaan memperkenalkan Multi-Factor Authentication (MFA) pada tahun 2015, awalnya menggunakan kode yang dikirim melalui email, pesan teks, dan panggilan telepon.

Perusahaan meluncurkan tombol keamanan fisik mulai tahun 2018, awalnya digunakan untuk satu kali kata sandi (OTP). Pada 2019, bank menambahkan push seluler dan aplikasi OTP sebagai opsi dan menghilangkan faktor yang kurang aman seperti email, SMS, dan suara.

Dorongan terakhir menuju kata sandi dimulai pada 2019, ketika perusahaan menetapkan tujuan menghilangkan kata sandi dari sebagian besar aplikasi. Pada bulan Juni 2022, kepala petugas keamanan informasi bank (CISO) menetapkan tantangan untuk mencapai VPN tanpa kata sandi untuk karyawan dalam satu tahun, dan pada Juni 2023, tim menyelesaikan proyek VPN tanpa kata sandi.

Sekarang, bank bekerja menuju tujuan membutuhkan login tanpa kata sandi untuk lebih dari 1.000 aplikasi yang ditargetkan pada akhir 2025.

“Kita akan menyelesaikan tanpa kata sandi tahun ini, dan kemudian kita akan mengadakan pesta,” kata Ozment.

Bagaimana menghilangkan kata sandi melindungi bank

Kata sandi telah lama diidentifikasi oleh para profesional cybersecurity sebagai sumber utama masalah. Pada tahun 2024, persentase tinggi (71%) dari serangan aplikasi web dasar memanfaatkan penggunaan kredensial yang dikompromikan, menurut laporan tahunan Verizon tentang pelanggaran data.

Kata Sandi Tanpa Kata Sandi membantu melindungi Capital One dari vektor serangan tertentu dengan memblokir upaya di mana penyerang memperoleh kode kata sandi atau multifaktor otentikasi (MFA) dari teks atau aplikasi. Secara lebih luas, tanpa kata sandi menghilangkan serangan man-in-the-middle, di mana penyerang berpose sebagai bank atau mencegat komunikasi yang dimaksudkan untuk aman.

Tanpa kata sandi menghilangkan ancaman ini melalui enkripsi asimetris, yang memastikan bahwa satu -satunya cara untuk mendekripsi pesan adalah dengan kunci enkripsi pribadi, yang dikelola perangkat secara otomatis dan lebih hati -hati daripada yang dapat dikelola kata sandi.

Sebagai contoh konkret, “Mungkin pengurangan tunggal terbesar dalam risiko yang akan kita dapatkan dari inisiatif ini” dari perjalanan tanpa kata sandi modal, menurut Ozment, sedang mentransisikan jaringan pribadi virtual perusahaan (VPN) ke tanpa kata sandi.

Dengan VPN tanpa kata sandi, karyawan Capital One terhubung ke jaringan bank untuk memulai pekerjaan mereka bukan dengan memasukkan nama pengguna dan kata sandi tetapi menggunakan otentikasi tanpa kata sandi yang mereka sukai. Bagi banyak karyawan, ini berarti menggunakan perangkat biometrik – misalnya, pengenalan wajah pada iPhone mereka atau pemindai sidik jari di komputer mereka. Karyawan yang lebih suka metode lain dapat mencolokkan kunci keamanan USB mereka atau mengetuk perangkat NFC mereka ke ponsel mereka.

Sementara perjalanan tanpa kata sandi diharapkan akan berakhir tahun ini untuk Capital One, ada lebih banyak keuntungan yang dapat dihasilkan perusahaan dalam secara bersamaan menyederhanakan dan mengamankan pengalaman karyawan. Memang, itu bisa menyebabkan menghilangkan penggunaan VPN.

“Saya sedikit sedih bahwa saya hanya harus menggunakan kata VPN, dan saya tahu kita semua ingin pindah ke dunia nol kepercayaan dan tidak menggunakan VPN tradisional,” kata Ozment kepada peserta konferensi RSAC. “Segera, kami berharap untuk berada di sini menyajikan tentang transisi kami ke nol kepercayaan, tapi itu presentasi yang berbeda.”