Hoje em dia a 1Password está mais focada na vertente de consumo, o utilizador individual, ou mais virada para as empresas? O que é que garante mais receitas?
Definitivamente o lado B2B [empresas para empresas, a área de negócio empresarial]. A área empresarial representa mais de 70% da nossa receita.
E era assim desde o início ou foi uma mudança ao longo do tempo?
Não, nos nossos primeiros dez anos a 1Password só tinha área de consumo, a solução para empresas foi lançada em 2018 e o negócio cresceu muito substancialmente desde então. Parte da razão é que, se olharmos para trás, diria que há dez anos, as empresas não pensavam nisto [cibersegurança] como um problema de negócios. Pensavam nas passwords que as pessoas usavam em casa, na Netflix, etc.
Mas com o passar do tempo, ali a meio da década, as empresas começaram a perceber que estas pessoas são os mesmos seres humanos no trabalho que são em casa. Se usam Fluffycat para todas as palavras-passe em casa, adivinhem o que é que estão a fazer no trabalho. As empresas começaram a reconhecer que era preciso resolver este “problema humano” e que precisavam de facilitar a segurança dos funcionários. Foi aí que comecei a perceber que havia uma oportunidade. O que fazemos agora é que, sempre que uma empresa compra uma conta empresarial, todos os funcionários ganham contas familiares gratuitas [do gestor]. As contas familiares gratuitas são completamente separadas. A empresa não consegue ver nada sobre essas contas familiares gratuitas. Há um lado egoísta para nós e um lado egoísta para a empresa [que adquire o serviço].
Porque conseguem aumentar a vossa base de utilizadores?
Bem, aumentamos a base de pessoas que gostam do 1Password, certo? Podem levá-lo [o gestor de passwords] para a próxima empresa ou o seu parceiro pode usá-lo na empresa deles.
Mas é uma oferta de curto prazo para a família ou…?
Desde que a empresa pague a conta empresarial, o gestor é completamente gratuito para a família e não apenas para o indivíduo, é para a família inteira. Quero que a família o use, porque em parte a segurança é algo de hábitos. Preciso de ser capaz de, no trabalho ou em casa, ter a mesma abordagem para coisas como palavras-passe e segurança de dispositivos.
Se em casa não uso um gestor de palavras-passe e se estou a usar passwords fracas, é muito menos provável que use palavras-passe fortes no trabalho, mesmo com um gestor de passwords. Hoje em dia, em casa e no trabalho, quase não há diferenças: é a diferença em termos das ferramentas que estamos a usar, mas vai-se alternar entre pagar uma conta e usar o email do trabalho, as vidas misturam-se.
Por isso, do ponto de vista do hábito, se pudermos dar-lhes uma palavra-passe forte em casa e no trabalho, então não vão precisar de pensar nisto — há um cofre de passwords em casa e outro no trabalho, mas podem usar a mesma abordagem para ambos.
Ainda na vertente empresarial, quantos clientes é que têm? E na Europa?
Não tenho a certeza sobre o que é que tornamos público, mas posso avançar que certamente a maior porção está na América do norte, mas vendemos para mais de 150 países. Temos perto de 100 trabalhadores na Europa, mas vendemos para o mundo todo.
Mas vê alguma diferença sobre a perspetiva em relação à segurança informática na Europa e na América do Norte? Ou já é algo global, em que não há mais diferenças?
Diria que, na Europa, certamente em países específicos como a Alemanha, talvez os Países Baixos e isso… Mas a Europa em geral tende a estar mais à frente, diria, do que a maioria da América do Norte, certamente do que a maioria dos Estados Unidos, em termos de mentalidade.
E também há algumas regras novas de cibersegurança na Europa.
Sim, em termos, diria, da percepção das pessoas sobre sua necessidade de privacidade e sobre o que nós, enquanto pessoas, estamos dispostos a abrir mão do ponto de vista de privacidade para ajudar as empresas. Acho que esse é outro lado em que podemos ajudar. Olho para meu dispositivo pessoal, para o meu telefone pessoal. Depois há o computador que eu uso, que é fornecido pela empresa e em que presumo que a empresa possa ver qualquer coisa que seja feita nele. Deve-se assumir que a empresa, quem deu esse dispositivo, tem a capacidade de ver o que está naquele computador. E, na maioria dos casos, têm a capacidade de atualizar o computador, também. Mas se for meu computador, se eu estiver a usar o meu computador pessoal ou o meu telefone pessoal [para trabalhar] não estou disposto a deixar a empresa colocar coisas lá ou a poder ver tudo o que faço.
Multas pesadas e responsabilização dos gestores. Vêm aí regras novas de cibersegurança e apanham mais empresas
Posso nem estar a fazer nada de entusiasmante, mas é o princípio, certo? É meu e eu quero que continue privado. Nesse caso, podemos ajudar a manter a privacidade do dispositivo. O que fazemos é permitir que se mantenha a privacidade e a propriedade do dispositivo, mas ao mesmo tempo a empresa ainda tem a capacidade de se proteger. Depois, podemos mostrar ao utilizador como fazer os patches de segurança e o utilizador pode escolher se quer ou não aplicá-los. Mas não são feitas coisas como forçar os patches de segurança no dispositivo ou quaisquer outras alterações no computador, porque é da pessoa. É essa a diferença na minha cabeça do que é chamado de segurança honesta.
Mudou alguma coisa depois da pandemia na forma como é vista a cibersegurança?
Acho que o que mais mudou depois da pandemia foi apenas a maneira como as pessoas trabalham. Diria que há cinco anos, ou antes da pandemia, certamente houve uma mudança para as pessoas trabalharem menos no escritório e talvez mais em casa. Mas isso mudou instantaneamente com a pandemia, toda a gente teve que trabalhar em casa e as empresas tiveram que aprender a fazer isso. E agora tem sido muito difícil para as empresas fazerem com que as pessoas voltem ao escritório, incluindo a tempo inteiro.
E por causa disso há novos desafios de segurança. Não é só de onde se trabalha, mas a mistura de pessoal e trabalho, o que significa que se vai estar no dispositivo de trabalho a fazer coisas pessoais ou no equipamento pessoal a fazer coisas de trabalho. O outro lado disso é com a pandemia, vimos uma grande mudança adicional, que foi de repente as empresas em 2020 tiveram que descobrir como se manter produtivas naquele novo ambiente. E francamente, na altura, ninguém sabia bem o que iria acontecer.
As empresas estavam apenas a tentar descobrir como passar por aquele momento e o que é que aquilo significava. Vimos uma mudança da segurança para a produtividade, para as ferramentas que eram precisas para se ser produtivo na nova forma de trabalhar. Não é que estivessem necessariamente menos preocupados com a segurança, mas de repente, toda a gente tinha o Zoom instalado.
Sim, havia muita coisa a acontecer ao mesmo tempo e incerteza.
Toda a gente tinha o Zoom e simplesmente tinha que se usar, não importava as implicações de segurança. Era a única maneira de trabalhar, essa e todas essas outras ferramentas para a produtividade. Agora, em 2024 e 2025, as empresas estão ok, há esta forma de trabalhar, as pessoas estão a trazer as suas próprias aplicações de produtividade e agora temos que nos ajustar de volta a isso de um ponto de vista de segurança. Esse é o grande desafio que estamos a enfrentar.
Há muitos ataques de grande escala a acontecer, violações de dados… Isso ajuda a transmitir ao público a mensagem de que a segurança informática é mais necessária hoje em dia?
Sim e o desafio está aí. No último ano, ouvimos muito sobre coisas sobre IA e coisas do género, e com razão. Devemos prestar atenção a isto, mas, ao mesmo tempo, a grande maioria das violações ou ataques de ransomware resume-se a coisas relativamente simples: pessoas que reutilizam as palavras-passe, pessoas que não mantêm seus dispositivos atualizados com os patches de segurança mais recentes e coisas desse tipo.
Essa ainda é a grande maioria das causas por trás desses ataques. Embora seja preciso continuar a olhar para o futuro, para os novos ataques que vão acontecer com algumas das tecnologias mais recentes, muitas das questões básicas ainda são aquelas que são usadas por cibercriminosos para entrar nos sistemas — e isso ainda é algo que podemos fazer de uma maneira relativamente fácil para nos proteger.
Está preocupado com a IA generativa? A proteção de ataques feitos com IA poderá ser uma oportunidade de negócio na vertente empresarial?
Acho que a IA generativa tem uma implicação enorme, certamente a longo prazo. Em termos mais imediatos, acho que a maior ameaça que vejo da IA é olharmos para coisas como ataques de phishing e etc. Esse tipo de técnicas mudaram nos últimos anos, passaram de uma abordagem de “tenho 10 milhões de dólares para lhe dar” até a “sua conta Netflix foi suspensa por falta de pagamento”, basta pôr aqui os seus dados do cartão de crédito. Tornaram-se mais sofisticados, mas, em geral, ainda conseguem ser pouco sofisticados.
A IA tem a oportunidade — ou a ameaça — de tornar essas coisas muito mais realistas porque o que faz é adicionar contexto. Pode aprender com o utilizador e pode começar a ter a capacidade de atingir as pessoas com coisas que parecem muito mais legítimas, seja sobre pessoas que conhece ou atividades em que se participa.
Ou até mesmo fingir a voz de um membro da família.
Absolutamente, estamos já a ver falsificações de voz ou até mesmo de vídeo. Ainda são um pouco desajeitados, mas ainda estamos só no princípio. Daqui a um ano poderão ser muito mais desafiantes.
Bastam segundos para clonar uma voz com inteligência artificial. Vamos ter de aprender a desconfiar do que ouvimos
E é uma evolução que está a ser cada vez mais rápida, não é?
Estão a evoluir de forma ridiculamente mais rápida. E a quantidade de dinheiro que as grandes empresas estão a investir nisto é impressionante. Quando olho para o tema reforça-se o fato de que nós, meros mortais, humanos, não temos a capacidade para nos protegermos, não podemos contar connosco para nos proteger nessas situações. Vamos precisar de ferramentas. E, mesmo nas coisas simples, como por exemplo o endereço de um site, há muitos ataques de phishing que fazem com que pareça legítimo, à espera de que nós, como humanos, ignoremos que tem um zero em vez de ter um ‘o’. Uma máquina não se importa que sejam parecidos, uma máquina olha para os bits e bytes e vê que são diferentes.
Acho que é deste tipo de capacidade que vamos precisar. Vamos precisar de continuar a contar com as ferramentas para nos mantermos seguros, porque vai ser extremamente desafiante para nós, humanos, saber quando algo é falso e quando algo é real. Acho que esse é um papel que podemos [enquanto empresa] desempenhar porque, novamente, estamos sempre na frente humana da tecnologia ao tornar mais fácil que as pessoas fiquem seguras.
Uma das suas principais ferramentas é um gestor de passwords. Ainda acha que estamos a caminhar para um futuro sem palavras-passe?
Muito.
Como é que seria para si esse mundo sem palavras-passe?
Para mim, a resposta está nas passkeys [chaves de acesso, em tradução livre]. As passkeys[método de autenticação digital em que a autenticação é feita sem palavra-passe, usando como alternativa um sensor biométrico, PIN ou padrão], do ponto de vista humano, usam só biometria no dispositivo. Mas por que é que as chaves de acesso são a resposta? Primeiro, porque têm propriedades de segurança muito boas. Do ponto de vista da segurança, são mais fortes do que a combinação nome de utilizador e password. E, do ponto de vista humano, não temos de nos lembrar de nada, é o melhor de dois mundos. Mas não é suficiente.
É preciso haver adoção por parte dos utilizadores. As passkeys têm um órgão padrão chamado FIDO, a FIDO Alliance. E, embora estejamos no conselho da FIDO Alliance, onde também estão a Microsoft, a Google, a Apple e os outros, os players de plataforma que também estão, todos concordaram em adotar e, de fato, também criaram passkeys. Essas empresas podem ter impacto em milhares de milhões de pessoas. Acho que é esse o caminho a seguir. Tal como tudo o resto, vai ser lento, mais lento do que gostaria. Comprámos uma empresa de passkeys há quase dois anos e realmente temos defendido o conceito, porque é exatamente o que pretendemos, uma combinação de segurança e produtividade.
O que é que está a fazer com que haja uma adoção lenta?
Acho que há algumas coisas que estão a tornar a adoção lenta. Acho que a maior questão é o facto de ainda haver algum desafio tecnológico. Embora as últimas versões do Android e do iOS, por aí em diante, sejam compatíveis com as passkeys, algumas das mais antigas não são. Por exemplo, um retalhista: quer ter certeza de que todos os seus clientes conseguem fazer login e fazer compras, não apenas aqueles que têm a tecnologia mais recente.
Parte do que temos feito é estar focados no lado da interface de utilizador e na usabilidade. Fornecemos o que é o passkey flex, o que significa que quando está implementada num site, saberá que o cliente tem a passkey e, se não tiver, irá reverter para o modelo normal, que é o utilizador e palavra-passe.
É desse tipo de soluções que vamos precisar, porque nem toda a gente vai passar para as passkeys, até pela tecnologia, porque as pessoas acham que, se é muito fácil, não é seguro. Esse é um dos maiores desafios. As pessoas foram treinadas para pensar que a segurança é difícil. Se às vezes veem algo que é demasiado fácil, ficam ‘ah, não confio nisto’. É preciso ter opções, porque se se é um retalhista, quer-se estar seguro de que não há nada que impeça as pessoas. E é aí que podemos ajudar, a tornar essa decisão e essa escolha fácil para o utilizador final.