*Por Damien Hugoo
Quando pensávamos que a invasão do OPM (Office of Personnel Management, ou Gabinete de Gestão de Pessoal dos Estados Unidos) não podia ficar pior, o órgão revelou que aproximadamente 5,6 milhões de impressões digitais foram roubadas no ataque. Ainda não há certeza sobre se as impressões digitais podem ser usadas pelos fraudadores para executar roubos de contas, mas não temos dúvidas de que os cibercriminosos tentarão qualquer coisa para obter lucros com o ataque.
Esse incidente é um lembrete importante da necessidade de limitar a exposição dos nossos dados biométricos, especialmente se formos usá-los para autenticar dispositivos.
Quase todos os maiores bancos suportam agora a leitura de impressões digitais do TouchID. A boa notícia é que alguns deles implementaram o reconhecimento de impressões digitais juntamente com outros mecanismos robustos de segurança, como tokens móveis, PKI e mensagens criptografadas. Com uma segurança em camadas, as impressões digitais roubadas não serão suficientes para acessar as contas no banco móvel.
A má notícia é que as impressões digitais já não são mais uma ferramenta de autenticação infalível: a adoção generalizada de uma tecnologia normalmente é acompanhada de um aumento dos ataques a ela. O Apple Pay e o EMV são exemplos perfeitos disso. Nós já observamos um grande número de ataques direcionados para o Apple Pay e veremos um número cada vez maior de ataques ao chip e à tecnologia pin do EMV à medida que ele for sendo adotado.
A adoção da autenticação com impressão digital, como um dos fatores biométricos mais convenientes, tem aumentado rapidamente, mas muitas questões ainda precisam ser resolvidas. Diferentemente de nome de usuário e senha, as impressões digitais não podem ser trocadas. Outro ponto é que, quando as impressões digitais são guardadas nos dispositivos, como no caso do TouchID, os fraudadores podem simplesmente informar remotamente ao software que a impressão digital foi verificada e confirmada localmente.
Outros mecanismos de autenticação biométrica, como reconhecimento de voz, rosto e íris, não são tão amplamente adotados como as impressões digitais, mas podem representar alternativas biométricas viáveis. No entanto, eles também apresentam desafios.
O reconhecimento de rosto proporciona uma experiência de usuário rápida, mas varia de acordo com expressão, luz, posicionamento e uso de óculos. O reconhecimento de voz apresenta algumas vantagens, especialmente para o canal URA. O mecanismo pode ser facilmente bloqueado no caso de uma invasão, mas poderia criar uma experiência de usuário pelo telefone celular bastante estranha e levar mais tempo para processar. Métodos biométricos deveriam ser empregados e oferecidos, a depender do caso e da situação. Por exemplo, reconhecimento facial pode ser mais fácil de usar em lugares públicos do que o vocal, enquanto a autenticação por voz pode ser mais aceitável em ambientes privados.
O setor ainda está buscando alternativas ao uso de senhas, e a autenticação biométrica ainda é uma boa opção. A invasão do OPM e seus desdobramentos confirmam a necessidade de uma segurança em camadas. Bancos, entidades governamentais e empresas não podem contar apenas com um único fator de autenticação.
A autenticação multifatorial não deve significar a utilização de uma senha seguida de outra senha, como OTP via SMS, uma vez que ambas podem ser comprometidas. Uma abordagem efetiva é validar o dispositivo e a identidade. Os inovadores do setor de segurança já estão usando a biometria juntamente com códigos token e detecção de anomalias, que é a abordagem correta para uma implementação eficiente dos métodos biométricos de autenticação.
*Por Damien Hugoo, diretor de Product Management da Easy Solutions.