Past Identification arrecada US$ 100 milhões para MFA sem senha e confiança 0

Se a autenticação multifator (MFA) é uma das nossas melhores esperanças para reduzir o cibercrime, pode demorar um pouco até que todos realmente a usem. Apesar da eficácia comprovada de exigir várias formas de autenticação no login, estatísticas recentes da Microsoft mostram que apenas 22% das contas autenticadas por meio do Azure Energetic Listing utilizam MFA.

Enquanto isso, ataques focados em identidade estão aumentando. Somente em 2021, a Microsoft diz que bloqueou mais de 25,6 bilhões de tentativas de invadir contas de clientes corporativos usando ataques de senha de força bruta.

As empresas não estão cientes? Ou talvez eles simplesmente não se importem? Mais provavelmente, é um terceiro motivo: a experiência típica do usuário de MFA é inconveniente. Ter que verificar por meio de um segundo dispositivo, como um smartphone, ou buscar um código do seu electronic mail, é uma dor e deixa tudo mais lento. Com a adoção de MFA ainda modesta, parece que, para muitas empresas, as compensações são muito significativas.

MFA ‘invisível’

Mas se os problemas de experiência do usuário puderem ser resolvidos, talvez a expansão da adoção do MFA não demore tanto. Esse é o objetivo, pelo menos, Além da Identidade. A startup desenvolveu uma solução para MFA focada em “cortar o atrito – tornando-o verdadeiramente invisível para um usuário ou para uma empresa que eles ativaram a MFA”, disse Tom “TJ” Jermoluk, cofundador e CEO da Além da Identidade.

Como parte disso, o Past Identification também elimina as senhas, enquanto aproveita uma abordagem de confiança 0 que garante que apenas usuários válidos possam se autenticar, disse Jermoluk.

Hoje, a empresa anunciou que levantou uma rodada de financiamento da série C de US$ 100 milhões para acelerar a implantação comercial do produto, que já está sendo usado por clientes como Snowflake, Intuit e Roblox. A rodada traz uma avaliação de US $ 1,1 bilhão para a Past Identification – especialmente notável porque a empresa tem apenas dois anos neste momento, tendo sido fundada no início de 2020.

A rodada foi liderada pela Evolution Fairness Companions e incluiu o apoio da New Undertaking Friends, Potentum Companions, Increasing Capital e HBAM. Jim Clark, que é cofundador e presidente da Past Identification, e cofundou empresas como a Netscape, também participou da rodada como investidor.

Fundamentalmente, com o Past Identification, a senha é completamente erradicada. Não é apenas que a senha é obscurecida para o usuário – na verdade, não há senha para começar.

Isso traz benefícios tanto para a facilidade da experiência do usuário quanto para a segurança. Senhas comprometidas são responsáveis ​​por 81% das violações relacionadas a hackers, informou a Verizon – e se as credenciais forem armazenadas em um repositório central, uma violação desse repositório pode ser devastadora.

Abordagem de confiança 0

Ficar sem senha, como acontece com a plataforma MFA da Past Identification, elimina outra vulnerabilidade potencial da equação e torna a plataforma essencialmente “anti-phishing”, diz a empresa. Ainda assim, Jermoluk quer deixar claro que a Past Identification é mais do que apenas uma “empresa sem senha”.

“Somos uma plataforma completa – não somos uma solução pontual”, disse ele em entrevista ao VentureBeat. “O que fazemos, que os outros não fazem, é que temos um mecanismo completo de risco de confiança 0.”

Isso significa que a plataforma avalia vários fatores contextuais diferentes – 70 no overall – para determinar se um usuário que está tentando fazer login é realmente quem alega. Os fatores incluem pace, geolocalização, endereço IP, standing do firewall, standing da criptografia do disco e o nível de patch do instrument no dispositivo.

“Ele permite que você verifique todos esses fatores diferentes e tome essas decisões de risco granulares sobre quais aplicativos as pessoas podem acessar – ou o que podem fazer nesses aplicativos a qualquer momento”, disse Jermoluk.

A solução também pode integrar dados de produtos de detecção e resposta de endpoint, como CrowdStrike e SentinelOne, para aprimorar ainda mais o mecanismo de tomada de decisão, disse ele.

Por exemplo, se um usuário normalmente faz login em um aplicativo uma vez por dia, mas de repente faz login 10 vezes durante um único dia, isso pode ser um indicador de que algo está errado. Além do mecanismo de risco de confiança 0 do Identification, portanto, “nos permite ter essa visibilidade que ninguém mais pode obter” em uma solução de segurança de identidade, disse Jermoluk.

O objetivo ultimate do Past Identification, disse ele, é “fazer com que esta plataforma seja adotada como o confiança 0 plataforma.”

Fácil de usar

O Past Identification se integra às principais plataformas de logon único, incluindo Okta, ForgeRock, Microsoft e Ping Identification. Quando um usuário abre um aplicativo em seu PC ou smartphone, usando o sistema Past Identification, o usuário pode fazer login automaticamente sem precisar inserir nenhuma informação (ou apenas digitando seu nome de usuário, caso ainda não esteja armazenado).

Com a tecnologia da Past Identification, o próprio dispositivo fornece os dois fatores necessários para autenticação. A solução incorpora criptograficamente as credenciais do usuário no dispositivo, servindo como um dos fatores necessários. O outro fator é atendido através do uso de autenticação biométrica para desbloquear o dispositivo.

“Você vai direto para o aplicativo. Você não sabe que nada disso está acontecendo. Tudo isso acontece nos bastidores”, disse Jermoluk.

Quando a Past Identification começou a lançar sua solução com os clientes, a reação de muitos usuários após o login foi: “Ei, vocês não fizeram nada”, disse ele.

“Generation tão invisível”, disse Jermoluk. “Então, na verdade, tivemos que ajustar a interface do usuário para que surgisse uma pequena mensagem que dizia: ‘Agora estamos autenticando você em seu aplicativo.’”

A chave para desbloquear todos os recursos da plataforma, diz ele, é a tecnologia da empresa para vincular criptograficamente informações de identidade aos dispositivos.

Canalizando Netscape

Para conseguir isso, a Past Identification aproveita alguns dos mesmos fundamentos técnicos que fizeram da famosa empresa anterior de Clark – Netscape, que ele fundou com Marc Andreessen em 1994 – em um divisor de águas. A Netscape inventou o protocolo Protected Sockets Layer (SSL) para fornecer um canal seguro para dispositivos conectados pela Web. E seu sucessor, Shipping Layer Safety (TLS), continua em uso hoje, inclusive para habilitar conexões HTTPS.

Para incorporar criptograficamente as identidades dos usuários em seus dispositivos, o Past Identification united states of america a criptografia de chave assimétrica baseada em X.509 que forma a base do TLS.

“Já foi comprovado que é escalável e seguro. Está em uso há 25 anos”, disse Jermoluk.

O que a empresa descobriu foi como estender essa criptografia para autenticação de identidade por meio de “vincular a identidade no dispositivo – torná-lo MFA em pace integral, por padrão, sem ter nenhum atrito”, disse ele. “Assim, nossos usuários não precisam olhar para um código de uso único ou uma notificação por push, ou nada disso. Porque você apenas united states of america sua biometria para entrar no dispositivo e, em seguida, a chave privada assina o certificado.”

Em última análise, Além da Identidade traz a oportunidade de “resolver tantos dos diferentes problemas que existiram [in security] com uma plataforma”, disse Jermoluk.

Adoção do cliente

Juntamente com seu produto de força de trabalho para uso corporativo de MFA, a Past Identification também oferece um produto para empresas como provedores de comércio eletrônico para autenticar logins de consumidores, juntamente com um produto de MFA para desenvolvedores que visa auxiliar em questões como comprometimento da cadeia de suprimentos de instrument . A plataforma suporta dispositivos Home windows, macOS, Linux, iOS e Android.

A empresa informa que tem 40 clientes no overall. Um de seus primeiros clientes foi a Snowflake, que adotou a plataforma no ultimate de 2020 e desde então expandiu a solução para toda a sua força de trabalho e assinou um contrato de três anos quando chegou a hora de renovar, disse Jermoluk.

“Eles são uma empresa de alta tecnologia. Eles sabem suas coisas em segurança. Eles estão muito preocupados com a privacidade dos dados por causa de seu modelo de negócios. E eles adoram”, disse.

Além dos benefícios de segurança que o Snowflake obteve ao usar a solução da Past Identification, os funcionários adotaram a ferramenta de maneira importante, disse Mario Duarte, vice-presidente de segurança da Snowflake, em um vídeo publicado no web page Além da Identidade.

“Não há um dia em que não recebamos um electronic mail de nossos funcionários, elogiando o que a Past Identification está fazendo por eles”, disse Duarte. “As pessoas realmente curtem, porque não precisam mais se preocupar com senhas.”

Planos de crescimento

Embora a solução Past Identification tenha obtido uma strong point tração inicial, o objetivo é atingir dez vezes o nível de crescimento em 2022, disse Jermoluk.

“O ano passado foi mais sobre engenharia. Este ano, o foco está no crescimento da receita e da contagem do logotipo do cliente”, disse ele. “Estamos realmente esperando que este seja um grande ano de avanço em termos de crescimento.”

A Past Identification, com sede em Nova York, atualmente tem 180 funcionários e espera terminar o ano com pelo menos 250 funcionários – embora a empresa gostaria de contratar mais do que isso se não fossem os desafios de contratar agora, disse Jermoluk . “Se ecu puder encontrar uma maneira de chegar a 300, ecu vou”, disse ele.

Jermoluk – cuja carreira anteriormente incluía atuar como CEO da @House Community, presidente da Silicon Graphics e sócio geral da Kleiner Perkins – disse que não planejava retornar a uma função operacional em uma empresa, até que a ideia de Past Identification fosse nascermos.

“Jim Clark e ecu somos parceiros há 35 anos. Então ecu fiz muitas dessas startups. E nos últimos 10 anos, tenho sido um membro ativo do conselho em nossas startups, mas não administrei nenhuma delas diretamente”, disse ele. “A razão pela qual estou de volta [is that] isso é realmente grande. Isso é grande e disruptivo, e tem a possibility de ser uma empresa realmente importante. E ecu gostaria de deixar essa marca.”