Quando um hacker consegue roubar a tua password, normalmente basta que a mudes para voltares a ter controlo na tua conta; mas o que acontece quando os hackers ficam com as tuas impressões digitais?
Se usas um smartphone lançado na última década é provável que já uses a autenticação biométrica para desbloquear o aparelho, seja através da leitura da tua impressão digital, ou da tua face.
E as vantagens são fáceis de perceber: em vez de perderes tempo a escrever passwords manualmente, basta “mostrares-te” para desbloquear o dispositivo numa questão de milissegundos.
No entanto, se estas tecnologias parecem mostrar vantagens óbvias para os utilizadores finais, para muitas empresas a adoção de sistemas de autenticação biométrica estará ainda longe de garantir a proteção de contas e aplicações críticas.
Muitos profissionais questionam o quão confiável e seguro é este tipo tecnologia, sobretudo quando está em causa a proteção de dados de muito valor. Mas será que faz sentido esta desconfiança? A partir de um artigo da Expert Insights, fomos perceber que tipo de proteções biométricas existem para os utilizadores comuns e, já agora, se podemos confiar nelas.
Da ponta dos dedos... ao coração
Esclareçamos desde já um ponto: no Universo da Cibersegurança, qualquer especialista dirá que não existem tecnologias de autenticação 100% seguras. O que, em tese e na prática, é verdade.
Mas há claramente tecnologias (muito) mais seguras que outras e que, quando usadas em conjunto, garantem uma proteção praticamente à prova de hackers.
Concentremo-nos então na tecnologia biométrica, cada vez mais usada. Trata-se de um método de verificação de identidade baseado nas medições de características biológicas vivas do utilizador.
Usando autenticação biométrica um sistema pode determinar se esse utilizador é realmente quem diz ser, analisando as suas características físicas (biometria fisiológica), ou comportamentais.
A biometria comportamental está baseada em características comportamentais do utilizador, passando pela análise do ritmo de digitação, dos movimentos com o rato ou com os dedos, forma de falar ou de se deslocar, por exemplo.
Já a biometria fisiológica tem como base a análise de aspetos como as impressões digitais, as estruturas faciais, a geometria das mãos, a análise da retina ou os padrões de veias dos utilizadores, por exemplo.
Há ainda a análise dos batimentos cardíacos dos utilizadores, algo único e irrepetível, neste caso conseguido pela identificação da atividade elétrica do coração.
Apesar de ser uma tecnologia cada vez mais usada em dispositivos wearable com Apps associadas a desporto e bem-estar, o maior desafio é, para já, a precisão do reconhecimento desses batimentos em diferentes situações do utilizador – stresse, calma, esforço físico, pânico, etc.
Como Funciona a autenticação biométrica?
Quando um utilizador se inscreve numa conta usando uma password, ela é registada na base de dados do sistema. A autenticação biométrica funciona de maneira semelhante. Ao inscrever-se usando a autenticação biométrica, o sistema captura o seu “modelo” biométrico, ao qual cada tentativa de login futura será comparada.
Ao contrário dos métodos tradicionais das passwords, assentes nos chamados métodos determinísticos, a autenticação biométrica baseia-se num sistema probabilístico. Este avalia a probabilidade de o utilizador que está a tentar aceder a um dispositivo ou aplicação seja a mesma pessoa registada na base de dados.
É muito mais difícil imitar um dado vivo que está constantemente a mudar do que dados fixos e estáticos.
Em termos práticos, os métodos probabilísticos têm foco na autenticação dos utilizadores corretos, em vez de visar a correspondência exata de dados que, na verdade, podem ser “imitados”.
Quais os principais riscos da autenticação biométrica?
A segurança e a precisão de uma solução de autenticação biométrica são fortemente influenciadas pelos seus limites, ou seja, pela forma como a análise do utilizador é efetuada. Limites mais “apertados” tornam o sistema mais seguro, mas aumentam o risco de o acesso do utilizador ser negado, levando os utilizadores a procurar métodos alternativos – e menos seguros – para aceder às suas contas.
Por outro lado, métodos menos “apertados” dão mais flexibilidade de acesso ao utilizador, mas aumentam o risco de o sistema reconhecer erradamente outros utilizadores.
A autenticação biométrica tem por isso os seus riscos, incluindo correspondências falsas, rejeições falsas, viés algorítmico e, apesar de altamente complexo, o spoofing biométrico.
Neste último caso, a Expert Insights descreve os casos do Talos Intelligence Group, da Cisco, que clonou e criou com sucesso uma impressão digital artificial usando impressão 3D, o Hack do Apple Face ID com uma máscara semelhante à humana, ou a utilização de um olho artificial para enganar o scanner de íris do Galaxy; mas define-os como procedimentos altamente complexos e demorados para que se possam tornar comuns.
A Biometria protege realmente as nossas contas?
Apesar dos riscos, diríamos que sim, que a autenticação biométrica é segura para utilização individual e empresarial média. É um dos métodos mais precisos e seguros de autenticação de identidade que, como qualquer tecnologia, não está isenta de falhas.
Para que funcione de forma “imaculada” há que a implementar da melhor forma, seguir as melhores práticas de implementação e acompanhamento, bem como formar os utilizadores sobre os cuidados a ter com a sua utilização.
No limite, a indústria defende cada vez mais a utilização de sistemas de Multi-factor Authentication (MFA) para reduzir ainda mais as probabilidades de falha. E tecnologias não faltam, desde a combinação de uma password com a biometria, os Security Tokens ou soluções baseadas em Blockchain.