Segurança biométrica – a chave para autenticação sem senha ou uma moda passageira?
Publicados: 2022-03-11A autenticação sem senha tem sido o Santo Graal da segurança por anos, mas o progresso tem sido dolorosamente lento. Isso não significa que grandes avanços não tenham sido feitos, mas, infelizmente, a maioria desses desenvolvimentos foi relegada a laboratórios de pesquisa ou nichos profissionais. Até alguns anos atrás, a tecnologia para implementar a autenticação sem senha em grande escala simplesmente não estava disponível.
No entanto, o rolo compressor da indústria está lenta mas seguramente mudando isso. Existem algumas considerações técnicas, legais e até éticas a serem levadas em consideração, mas, seja como for, a segurança biométrica e a autenticação sem senha vieram para ficar.
A biometria já está mudando o jogo e continuará a fazê-lo.
Por que ir sem senha em primeiro lugar?
Como este é um blog de engenharia, não sinto necessidade de explicar a um grupo de desenvolvedores preocupados com a segurança as vantagens dos logins rápidos. Não precisamos olhar para o problema da perspectiva do consumidor – todos nós somos obrigados a usar uma infinidade de serviços online e um número cada vez maior de dispositivos. Isso não mudará tão cedo e, se houver, o número de serviços e dispositivos nos quais teremos que fazer login continuará aumentando.
É claro que existem muitas maneiras de dispensar as senhas, incluindo a autenticação biométrica. Do ponto de vista do usuário, o uso de contas do Google, Microsoft e Facebook para fazer login em serviços de terceiros funciona, pois o usuário pode evitar o inchaço de senha e não ter que criar contas para cada serviço e dispositivo.
OAuth e OpenID são usados há anos para consolidar identidades digitais, e os padrões são empregados por alguns dos maiores nomes do setor de tecnologia.
Tecnicamente, essa não é realmente uma abordagem sem senha, mas o usuário médio pode não ver a distinção.
Os prós e contras de usar essa abordagem são:
Prós:
- Conveniência
- Fácil de implementar
- Boa segurança
- Tranquilidade da marca
Contras:
- Dependência de um serviço centralizado
- Todos os ovos em uma cesta – ao comprometer uma conta, um invasor pode ter acesso a outras
- Potenciais vulnerabilidades de segurança, além do seu controle, podem ser usadas contra você
- As pessoas podem estar relutantes em usar esses serviços devido a questões de privacidade
Muito disso é verdade para soluções alternativas, embora não se aplique a certificados de segurança que geralmente são relegados a usuários corporativos e não a consumidores. Os prós superam os contras, portanto, já podemos fazer login em inúmeros serviços de terceiros usando nossas contas existentes.
Como a biometria e a segurança biométrica podem ajudar?
O uso de sistemas de autenticação biométrica aborda muitos problemas; não há dependência de serviços centralizados, a privacidade não é uma preocupação e a experiência do usuário não é comprometida – desde que seja feito corretamente. Então, vamos dar uma olhada nos prós e contras.
Prós:
- A digitalização de impressões digitais é rápida, barata e relativamente segura
- O reconhecimento de voz é fácil de usar e difícil de manipular
- As varreduras de íris são muito seguras e potencialmente mais convenientes do que a digitalização de impressões digitais
- A tecnologia de eletrocardiograma oferece autenticação “sempre ligada”
- Todos os métodos de segurança biométrica abordam questões de privacidade, oferecendo boa segurança
Contras:
- A biometria não é adequada para todas as aplicações
- O custo de implantação da segurança biométrica é muitas vezes proibitivo
- O suporte é limitado a determinadas plataformas e indisponível na maioria
- Algumas tecnologias ainda são imaturas
- A biometria não é uma bala de prata – a segurança ainda pode ser comprometida
A biometria não é um conceito novo ou uma nova tecnologia. A segurança biométrica tem sido usada em muitas indústrias por décadas, e tem sido um item básico dos roteiristas de Hollywood por mais tempo. Tenho certeza de que muitos leitores tiveram a chance de brincar com reconhecimento facial e scanners de impressão digital em seus notebooks anos atrás – eu sei que sim, e também sei que não fiquei impressionado; a maioria dessas soluções iniciais eram truques baratos.
No entanto, percorremos um longo caminho desde então. Mais poder de processamento está disponível, juntamente com sensores de imagem muito superiores, e tudo é apoiado por software cada vez mais sofisticado. É por isso que algumas dessas tecnologias estão voltando, o que estão fazendo com força total.
Indústria aprova os scanners de impressão digital
O Touch ID da Apple é provavelmente a solução de autenticação de impressão digital mais reconhecida no mercado, mas não é a única. A Apple abriu o Touch ID para desenvolvedores de terceiros no iOS 8 e passou a integrar a tecnologia em novos iPhones e iPads, bem como em seu serviço Apple Pay.
É por isso que o iOS tem uma clara vantagem sobre o Android e outras plataformas; cada novo iPhone e iPad será enviado com Touch ID até que Cupertino apresente algo melhor.
Isso não significa que o Android deva ser descartado porque um número crescente de telefones Android está sendo enviado com scanners de impressão digital. Os primeiros dispositivos de autenticação biométrica apresentavam pequenos scanners que exigiam que o usuário passasse o dedo sobre o scanner, mas as unidades de digitalização por toque, semelhantes às da Apple, estão se tornando cada vez mais comuns. É importante observar que esse recurso não é reservado para produtos caros e emblemáticos - até mesmo alguns telefones de US$ 200 comercializados por fornecedores chineses apresentam esses scanners.
No entanto, ainda há uma consideração; O Google não integrou um scanner de impressão digital em nenhum de seus dispositivos Nexus, embora haja rumores de que originalmente pretendia incluí-lo no smartphone Nexus 6. De fato, o Android Open Source Project (AOSP) forneceu evidências de que o suporte a impressões digitais foi removido do dispositivo. Isso não é uma boa notícia para os desenvolvedores do Android, pois o Google geralmente apresenta novas tecnologias em dispositivos Nexus e acompanha documentação e APIs, como foi o caso do suporte NFC no Nexus S ou do sensor barômetro no Galaxy Nexus.
Ainda assim, isso não impediu que os fornecedores usassem seu próprio código, com alguns tipos de scanners. Mas isso é uma má notícia para os desenvolvedores que estão de mãos atadas, pois não há um padrão que elimine a fragmentação e assegure a interoperabilidade. A Samsung tentou superar o problema permitindo que os desenvolvedores brincassem com sua API Pass, mas essa ainda não é uma solução ideal. A Motorola tentou fazer o mesmo há quatro anos com seus antigos dispositivos Atrix.
Vários fabricantes e desenvolvedores de hardware também lançaram SDKs que permitem aos desenvolvedores integrar suporte para vários scanners de impressão digital, mas a falta de um ambiente padronizado que reduza ou elimine a fragmentação ainda é um grande problema.
Pode demorar um pouco até vermos scanners de impressão digital na maioria dos telefones, mas muito progresso está sendo feito. Passamos de nenhum scanner em telefones emblemáticos para scanners relativamente confiáveis em telefones de US $ 200 no espaço de alguns anos.
Mas, quão úteis eles são? Eles são apenas truques como scanners de impressão digital de primeira geração em notebooks antigos?
A tecnologia funciona, não há dúvida sobre isso, mas por enquanto as aplicações são limitadas. O desenvolvimento de software precisa acompanhar o hardware, precisamos de mais serviços que possam usar essa solução e precisamos de mais APIs, padrões e diretrizes de líderes do setor (nomeadamente, Google). Neste ponto, os scanners de impressão digital em muitos dispositivos Android são truques, nada mais.
No geral, os scanners de impressão digital são convenientes, mas não são a solução ideal. Embora cada impressão digital seja única, ainda existem algumas preocupações de segurança. Muitos scanners podem ser enganados, embora esteja ficando cada vez mais difícil fazer isso com uma imagem simples. No entanto, existem alternativas, incluindo impressão 3D e algumas maneiras mórbidas de fazer isso, como um especialista em segurança apontou alguns anos atrás.
Escusado será dizer que você não pode usar leitores de impressão digital com luvas, um polegar ferido ou em outras situações extremas. Mas, estas são desvantagens relativamente menores.
Microsoft quer te olhar nos olhos
Então, vamos resumir. O Android e o iOS já podem usar scanners de impressão digital para segurança biométrica e atualmente são subutilizados. Mas e os ambientes de desktop? Podemos desbloquear nossos telefones e autenticar pagamentos usando biometria, mas ainda trabalhamos em desktops, então que tal torná-los realmente sem senha?
A Microsoft anunciou recentemente o Windows Hello e, caso você tenha perdido, confira o blog oficial do Windows para obter uma visão geral abrangente dessa iniciativa.
É assim que a Microsoft explica sua visão para o Windows Hello:
Em vez de usar um segredo compartilhado ou compartilhável como uma senha, o Windows 10 ajuda a autenticar com segurança em aplicativos, sites e redes em seu nome, sem enviar uma senha. Assim, não há senha compartilhada armazenada em seus servidores para um hacker comprometer potencialmente.
O Windows 10 solicitará que você verifique se você possui o dispositivo antes de autenticar em seu nome, com um PIN ou Windows Hello em dispositivos com sensores biométricos. Uma vez autenticado com o 'Passport', você poderá acessar instantaneamente um conjunto crescente de sites e serviços em vários setores – sites de comércio favoritos, serviços de e-mail e redes sociais, instituições financeiras, redes de negócios e muito mais._
O Windows Hello é um sistema de autenticação biométrica que permitirá aos usuários acessar instantaneamente seus dispositivos Windows 10, usando digitalização de impressão digital, digitalização de íris ou reconhecimento facial. A Microsoft diz que “muitos” novos dispositivos Windows 10 suportarão o Windows Hello, mas, pessoalmente, acho uma técnica particularmente interessante.
A varredura de íris é um dos métodos suportados pela Microsoft e tem alguns benefícios em relação às alternativas. Deve ser mais confiável e potencialmente mais conveniente do que a digitalização de impressões digitais. Caso você esteja se perguntando, isso não será tratado por nossas webcams ou câmeras de telefone – a Microsoft quer usar “uma combinação de hardware e software especiais” para garantir que o sistema não possa ser derrotado.
O scanner de íris contará com tecnologia infravermelha (potencialmente, infravermelho próximo). Isso significa que ele poderá operar em todas as condições de iluminação e ver sua íris através de óculos, mesmo óculos escuros. Os projetistas de hardware não precisarão reservar muito espaço em um dispositivo para integrar o scanner; ele pode ser integrado ao lado da câmera selfie em nossos celulares ou como um complemento para câmeras da web autônomas usadas em muitas máquinas de escritório hoje. Isso significa que ele pode ser facilmente adaptado aos PCs desktop existentes.
Além dos scanners infravermelhos, a Microsoft também usará medidas de segurança biométrica mais tradicionais, como reconhecimento facial, contando com a tecnologia de câmera Intel RealSense. Isso deve ajudar a tornar o Windows Hello mais prolífico, especialmente à medida que os usuários atualizam para novos notebooks e híbridos baseados em plataformas Intel.
Na frente móvel, uma varredura de íris oferece várias vantagens sobre a autenticação de impressão digital; ele pode funcionar com luvas, lesões na íris são muito menos comuns do que lesões no polegar, e deve ser muito mais difícil vencer um scanner de íris para consumidores do que um scanner de impressão digital.
Há outro ângulo na abordagem da Microsoft – a gigante do software não armazena dados biométricos dos usuários. A assinatura biométrica será protegida localmente nos dispositivos e compartilhada com ninguém além do usuário. A assinatura será usada apenas para desbloquear o dispositivo e o Passport, portanto não será usada para autenticar usuários na rede.
O júri ainda está fora dos planos de biometria da Microsoft e teremos que esperar o Windows 10 para vê-lo em ação.
E quanto à autenticação sempre ativa?
Embora todas essas tecnologias possam fazer um bom trabalho na substituição de senhas tradicionais, há conceitos emergentes que podem dar mais liberdade aos engenheiros. E se pudéssemos dispensar totalmente o processo, sem senhas, sem digitalizações de impressões digitais – nada?
A “autenticação sempre ativa” é a próxima fronteira, e várias maneiras de chegar lá já foram propostas. No entanto, uma distinção importante precisa ser feita. A autenticação sempre ativa geralmente se refere à autenticação máquina a máquina, como um sistema de autenticação SSL “sempre ativa”, conexões SHH, credenciais NFC e várias tecnologias de rede. Geralmente são desenvolvidos para monitorar e autenticar transações financeiras, reduzindo assim o risco de fraudes online.
Existem relativamente poucas soluções para autenticação de usuário sempre ativa. Um exemplo é a pulseira Nymi da Bionym. É um dispositivo vestível que se parece muito com o rastreador de fitness comum, mas é mais inteligente do que isso.
Nymi verifica o eletrocardiograma (ECG) exclusivo do usuário. Isso significa que você só precisa ter o dispositivo no pulso para fornecer autenticação sempre ativa. Enquanto seu coração continuar batendo, você estará logado.
Se você está pensando em tentar o mesmo truque nos relógios Apple Watch ou Android Wear, segure seus cavalos, ainda não chegamos lá. O Nymi não apenas rastreia a frequência cardíaca do usuário como um smartwatch, ele realmente analisa a forma da onda de ECG do usuário, que usa um sensor mais sensível. Os smartwatches parecem a plataforma de hardware ideal para esta aplicação e, mais cedo ou mais tarde, poderão fazer a mesma coisa.
Imagine desbloquear seu telefone, carro, escritório e computador simplesmente por estar lá e ter pulso? Fazer login em qualquer conta sem problemas, depois pagar o almoço, fazer algumas compras a caminho de casa e talvez sacar dinheiro de um caixa eletrônico, tudo sem ter que fazer malabarismos com suas compras e cartões de crédito. Ainda não chegamos lá, mas estamos chegando lá aos poucos.
O que tudo isso significa para desenvolvedores de software e usuários?
Por enquanto, os desenvolvedores de software podem usar middleware e tokenização prontos para uso para implantar soluções sem senha. Um exemplo é o Passwordless, uma estrutura de código aberto baseada em token para Node.js e Express. Caso você esteja interessado em como ele é implantado, a Mozilla tem uma postagem abrangente no blog que explica isso.
Vai demorar um pouco, mas os blocos de construção biométricos estão lentamente se encaixando. A safra atual de tecnologias sem senha será aumentada e, eventualmente, substituída pela autenticação biométrica.
Muitos céticos de segurança biométrica, incluindo muitos de meus colegas, não acreditam que isso aconteça tão cedo, mas sou um otimista incorrigível; Acho que a segurança sem senha será padrão até o final da década, e é por isso: se observarmos apenas um campo específico, seja software ou hardware, encontraremos inúmeros problemas com biometria, muitos dos quais já descrevi. No entanto, se dermos alguns passos para trás e olharmos para o quadro geral, se dermos uma olhada nas novas tendências da indústria e na crescente ênfase na segurança pessoal e corporativa, violações de segurança altamente divulgadas, preocupações com a privacidade - estamos fadados a ver as coisas de uma perspectiva diferente.
Mesmo assim, o elefante na sala não é privacidade ou segurança B2B, são pagamentos móveis.
Espera-se que o volume de transações móveis nos EUA mais que dobre este ano para US$ 10 bilhões. Em 2018, a Bloomberg espera que o volume chegue a US$ 110 bilhões. Em uma base per capita, o consumidor americano médio fará cerca de US$ 30 em transações este ano, mas em 2018 o número subirá para US$ 330 per capita, para cada homem, mulher e criança. Assumindo a mesma taxa de crescimento anual composta em 2019 e 2020, poderíamos estar olhando para quatro dígitos per capita até 2021.
Com tanto dinheiro em jogo, o que você acha?