Acabando com os mitos da segurança biométrica

Acabando com os mitos da segurança biométrica

“artigo retirado do AVG Official Blogs”
por Michael McKinnon

 

Nos noticiários recentes não faltou opinião sobre o novo recurso de impressão digital do smartphone iPhone 5S da Apple, e, infelizmente, grande parte das informações estão de fato incorretas ou exploraram a recente paranoia em massa do consumidor quando se trata de privacidade.

 

Então, vamos esclarecer alguns desses mal-entendidos e dar uma olhada no que é realmente a segurança biométrica, para o que ela serve e algumas das armadilhas, especialmente em comparação com o que todos nós estamos familiarizados – com as senhas.

 

No mundo da segurança, temos uma coisa chamada “Controle de Acesso”, que descreve qualquer número de métodos utilizados para permitir que apenas usuários autorizados acessem o sistema. Dentro deste campo de investigação há três tipos de critérios que um sistema pode autenticar um usuário (isto é, para distinguir um usuário de outro):

 

* “Algo que você sabe” – como o seu PIN, senha, nome de solteira da mãe, etc.

* “Algo que você tem” – como o seu cartão de crédito, Smartphone, sua chave de casa, etc.

“Algo que você é” – como uma impressão digital, escaneamento do olho, ou até mesmo o seu DNA, etc.

 

Você pode ter ouvido falar sobre o termo “autenticação de dois fatores“, e isso simplesmente se refere a qualquer um dos dois fatores dos três citados acima. Por exemplo, quando você usa uma máquina de caixa eletrônico, você está usando dois fatores de autenticação – um é o seu Cartão de Crédito ou Débito que você “tem”, e o segundo é a Senha que você “sabe”.

 

Muitos de nós, no entanto, não estamos familiarizados com o fator “algo que você é” que é implementado na forma de “biometria“- esta é a capacidade de medir uma parte de você, como um ser humano, e usá-lo para identificá-lo; ou pelo menos para distingui-lo de uma grande população de pessoas aleatórias.

 

A ciência da biometria tem sido realmente usada desde o final de 1800, bem antes dos computadores, quando a impressão digital foi descoberta como uma maneira de identificar todos nós de forma bastante única e continua sendo, de longe, uma das ferramentas de combate ao crime mais utilizada até hoje.

 

Infelizmente, é onde grande parte da confusão (e paranoia) prevalece, quando começamos a comparar o tipo de impressões digitais usados ​​pela polícia ao o usado em sistemas de controle de acesso como este usado no iPhone 5S. Os dois não poderiam ser mais diferentes!

 

Quando o seu personagem favorito do CSI Miami encontra uma impressão digital na cena de um crime, ela deve ser apresentada em um tribunal e deve categoricamente levar até o suspeito. Ela será examinada e analisada cuidadosamente por uma pessoa treinada em exame forense, capaz de distinguir as menores diferenças, e as consequências de um erro pode colocar uma pessoa inocente na cadeia!

 

Contraste isso com um leitor de impressões digitais para computador que só precisa determinar se uma impressão digital bate com alguma que está armazenada em seu arquivo. Enquanto na superfície ambas parecem semelhantes, o ônus da prova está longe de ser o mesmo – e adicionando a isso, verificam-se os computadores estão longe de serem tão bons em leitura e em discernir as impressões digitais como nós seres humanos somos.

 

O que me leva a um dos equívocos mais populares. Um computador ou smartphone não precisa armazenar uma imagem fotográfica de sua impressão digital para autenticar você, o que significa que há pouco risco de vazamento de dados permitindo que alguém do outro lado do mundo, seja capaz de fazer uma réplica de seu dedo de látex.

 

Boas tecnologias biométricas usam um tipo diferente de impressão digital conhecido como “hashes criptográficos” que reduze a sua impressão digital em uma assinatura digital. A assinatura por conta própria é aleatória e sem valor, e não pode ser usada a mesma entre dispositivos diferentes, mesmo quando o mesmo dedo é utilizado – e é tecnicamente impossível reconstruir as suas impressões digitais originais dela.

 

Além disso, na tecnologia biométrica existem duas grandes imperfeições que continuam a atormentar todas as implementações até hoje.

 

* Falso Taxa de Aceitação – o número de vezes que um leitor irá aceitar um impostor.

* Falso Índice de Rejeição – o número de vezes que um leitor irá rejeitar a pessoa verdadeira.

 

Estes dois problemas com scanners de impressões digitais e outros leitores biométricos significa que, por vezes, um impostor pode enganar o leitor, como já foi alegado no iPhone 5S. E, por vezes, o leitor não vai funcionar, o que pode ser irritante para a pessoa real. Obter essa tecnologia continua a ser a arte de notável equilíbrio entre essas duas forças.

 

Mas estas questões não são surpresas para especialistas de segurança bem informados. Na verdade, a Apple reconhece abertamente que a sua tecnologia de segurança de impressão digital Touch ID tem uma taxa de falsa aceitação de cerca de 1 em 50.000.

 

Isso significa que se você a usar o seu novo iPhone 5S em um grande show de rock com mais de 50.000 participantes, há chance de um dedo de outra conseguir de desbloqueá-lo!

 

Mas adivinhem … que teria que ter mais de 9.999 pessoas para adivinhar o seu PIN, certo? Então, já estamos falando de uma segurança, que é potencialmente cinco vezes melhor do que a que você tem atualmente.

 

Na verdade, com mais de 50% dos usuários de smartphones que não utilizam qualquer tipo de código de acesso, espero que tecnologias como o Touch ID da Apple tornem muito mais fácil para as pessoas a começar a pensar seriamente sobre como proteger seus dispositivos com pouco esforço (não que o uso de um código de acesso seja muito esforço para aqueles que já o fazem!).

 

Então, eu ouço você perguntar, a segurança biométrica vai um dia substituir as senhas?

 

Em primeiro lugar, eu diria que tudo é possível no futuro. Nós não sabemos se algumas das limitações atuais para a segurança biométrica serão resolvidas – mas se forem, as questões complexas e as implicações de Privacidade que surgiriam de ter uma tecnologia que poderia identificá-lo, sem erro seria enorme e pode levar gerações para resolver.

 

Em segundo lugar, a única coisa que as senhas têm como vantagem é que, ao contrário de muitas coisas na vida, elas são absolutamente gratuitas. E a implementação de uma senha de segurança, quando feita corretamente, pode fornecer um bom nível de segurança do que qualquer outra coisa seja sozinha e, claro, quando combinada com os outros dois fatores.

 

Se há alguma coisa, parece que os maiores vencedores para melhorias na área de segurança biométrica, pelo menos com o iPhone 5S, serão aquelas pessoas que já são bastante preguiçosas quando se trata de segurança com senha!

 

Até a próxima, fique seguro lá fora.

One thought on “Acabando com os mitos da segurança biométrica

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *