Surgem ferramentas biométricas e s que prometem revolucionar a abordagem como é atualmente feita o acesso de usuários a sistemas. Confira!
Imagine-se fazendo o login de acesso à conta bancária online. Você entra no site, coloca suas informações e senha e é remetido a um menu de opções com diversas perguntas relativas ao jantar mais inesquecível que você teve em família. Quem estava presente? Quantos anos você tinha? Que tipo de comida foi servida? Se você responder corretamente às questões, está autenticado e apto a usar os serviços do banco.
Depois, para demonstrar que você não está em um site de phising (aqueles que enganam o internauta pra roubar senhas) o software do banco envia à tela um display com uma frase especial pré-selecionada. De acordo com uma start-up chamada Cogneto, esse tipo de software baseado em autenticação está longe de ser o mais amigável e eficiente do que os métodos baseados em autenticação de hardware.
Na primeira entrada e colocação de senha, por meio dos menus chamados dropdown, são inseridas as informações baseadas em suas vidas e também em suas viagens, festas, jantares ou outros eventos. O software da Cogneto – Unomi – faz o resto. Da próxima vez que o usuário fizer o login, o software não somente provê autenticação segura, como coloca o cliente em uma boa estrutura de lembrança por meio da sugestão de lembranças de experiências pessoais.
O Unomi representa um dos métodos biométricos e cognitivos de autenticação que tem surgido para ajudar os bancos e outros negócios online com novas regulamentações ou com necessidades gerais de ajustar a segurança online em um meio de interromper tantas quebras de dados.
Policiamento da digitação
Quando o banco de Utah (cidade dos EUA) estava procurando ir além de nome de usuário e senha, tinha dois critérios principais. A solução precisava estar integrada com a infra-estrutura de segurança e tinha de ser fácil para o uso dos clientes.
O banco escolheu um software de uma companhia chamada BioPassword que usa a dinâmica de monitoramento de movimento de teclado para reconhecer o padrão de digitação de um usuário (durante a era do telégrafo, indivíduos podiam ser identificados por um meio do Código Morse. Os militares norte-americanos durante a Segunda Guerra Mundial se aproveitaram do fato de identificar específicos códigos Morse dos alemães por meio da identificação de seus padrões).
No cenário do banco de Utah, os clientes baseiam seus nomes de usuário e senha para criar uma assinatura que fica armazenada na base de dados. Da próxima vez em que o cliente acessa, o sistema determina se o nome do usuário e senha combinam com o tipo de assinatura.
“A experiência do usuário não muda”, diz Kirk Marshall, CISO do Banco de Utah. “Os usuários vêm até nosso site, digitam seus nome de usuário e senha e o software faz o resto. Eles não têm que olhar as imagens e responder a perguntas”, conta.
Primeiro fator de tolice
Tanto o método Cogneto quanto o BioPassword ainda exigem o nome do usuário e senha como o primeiro passo do esquema de duas etapas de autenticação e alguns especialistas em segurança argumentam que isso continua sendo um problema.
David O’Connell, analista sênior da Nucleus Research, diz que as senhas são inconvenientes e as pessoas estão menos cuidadosas com elas. Em uma pesquisa recente conduzida por ele, foi descoberto que um terço de todas as pessoas gravam as senhas em algum lugar, em um post-it ou em um arquivo de computador.
Os hackers sabem disso há muito tempo e quando invadem um equipamento, a primeira coisa que eles fazem é procurar por arquivos nomeados como “Senhas”. Com esses novos métodos, eles podem fazer o que quiserem e isso não se torna um problema, porque a informação adicional é exigida e reunida em paralelo a essas senhas.
Entretanto, a pergunta a ser feita aos executivos de TI é se a segurança adicional tem benefício suficiente por requerer trabalho além das senhas – que dificultam a ocorrência de problemas, mas aumentam o esforço de educação das pessoas até que se ajustem ao novo comportamento.
Jared Pfost, vice-presidente de segurança e estratégia de produto da Biopassword, afirma que a sobrecarga em TI criada pelo ritmo de digitação do sistema é minimamente comparável à adoção em um sistema inteiro. Token, biometrias e senhas são meios que exigem uma mudança de comportamento do usuário. “Qualquer coisa que prevê mudanças de postura por parte do usuário vai gerar mais chamadas por assistência”, diz Pfost.
Por outro lado, se você mantiver o nome do usuário e senha, você tem um problema com todas as chamadas de help desk que partem de usuários que esquecem suas senhas. A produtividade é afetada para o usuário e para a TI. Enquanto a Biopassword poderia deixar os usuários optarem por simples senhas que são mais fáceis de lembrar e que não alternam a cada poucas semanas, alguns profissionais de TI são tão implicantes com senhas que eles gostariam de se desfazer delas de uma vez por todas.
Senhas são ultrapassadas?
A ContactWorks provê call-center e serviços de contato com o cliente e quando a companhia procura uma nova forma de autenticação, quer uma que seja fácil de aliviar a sobrecarga da área de TI.
Jack Pariseau, vice-presidente de vendas e marketing da empresa, estima que cada senha relacionada a chamada por serviço pode levar 10 minutos para reconhecer o arquivo. “Isso é apenas pela chamada”, diz. “Quando você avalia o tempo que leva para recuperar sua linha de raciocínio e voltar a se concentrar no projeto que você estava trabalhando, o tempo perdido pode ser aproximadamente de 20 a 30 minutos”, resume.
No verão passado (nos EUA), a ContactWorks tomou a decisão radical de se livrar das senhas e passar para a solução de autenticação PassFaces. O PassFaces demanda que os usuários reconheçam determinadas pessoas e selecionem estes rostos conhecidos entre um grupo de diversas pessoas.
Enquanto isso soa como um meio estranho de autenticação para acesso a sistemas, a resposta dos usuários tem sido positiva. De acordo com a companhia, este método de autenticação “alavanca a capacidade inativa do cérebro a reconhecer faces humanas”. “Isso foi fácil de começar e torna a vida dos empregados mais fácil. Eles não têm que se lembrar de senhas ou tomar cuidado durante as digitações. Do ponto de vista da TI, ninguém mais chama por ajuda por causa desse tipo de problemas”, garante Pariseau.
Outro benefício para a ContactWorks é o gerenciamento de força de trabalho transitória. “No negócio de call center, existe um alto índice de saída e reposição de funcionários (turn over)”. “Além disso, há o fato de que estamos localizados em Austin, uma cidade com muitas pessoas especializadas em suporte técnico que trocam muito de trabalho”, conta.
Anteriormente, a ContactWorks teve de agir com atualizações constantes. Funcionários poderiam deixar o trabalho e levar senhas de redes de trabalho e autenticação consigo, criando sérios riscos à segurança. Como o PassFaces capacita um único acesso entre aplicações e a TI, pode simplesmente descobrir um nome de usuário, localizado por meio da pressão de algumas teclas, para desativar a conta. “O que eu gosto é que o produto autentica o usuário”, diz Pariseau. “Esse método não autentica algumas palavras que eles conhecem, mas algo que está em suas cabeças”, diferencia.
Jogos de cabeça
Como você autentica alguma coisa que está na sua cabeça? Isso soa como uma passagem de scam de leitura pelo cérebro. A diferença é que esta nova forma duplo-biométrica está baseada em neurociência. O PassFaces, por exemplo, confia no fato de que o cérebro humano está preparado e ligado para reconhecer faces.
Seu padrão de reconhecimento pode unicamente identificar uma pessoa somente por seu ritmo de teclar. Soluções biométricas tradicionais, como a impressão digital ou identificador de íris foram durante muito tempo considerados o tipo mais seguro de autenticação.
O fator “algo em você” é muito mais difícil de falsificar do que algo que você tem ou conhece – e você não pode perder isso e não necessariamente tem de escrever isso. Esse fato não é para dizer que estes sistemas não podem ser destruídos. Os hackers estão lá, mas os sistemas biométricos são considerados amplamente mais seguros do que a maioria das formas dos dois fatores de autenticação.
A desvantagem sempre foi custosa. O identificador de íris não está nem perto da captura e muito mais requerendo um novo hardware, que inclui tokens e smart cards, franzindo as sobrancelhas sobre os custos do departamento de TI. Adicionalmente, os desenvolvimentos são difíceis e existe algo que pode ser perdido, quebrado ou roubado. O relacionamento biométrico e cognitivo evita estes problemas. Reconhecer faces não exige um novo hardware.
Você pode me ouvir agora?
Outra start-up, a Porticus, mede a sua voz. A empresa diz que esta abordagem provê triplo fator de autenticação, porque pode medir sua voz e características do microfone que você normalmente usa, enquanto também pergunta a você um específico conhecimento de uma frase (senha vocal). Uma alusão desse tipo de verificação pela fala é que organizadamente faz a ligação com o botão para expandir o banco online e o comércio além do desktop e equipamentos móveis.
Como oposição a tradicionais sistemas biométricos, este relacionamento com opções de voz e tem vantagens claras. Primeiro, o retorno do investimento (ROI) é de longe melhor do que a biometria tradicional. Cada solução alavanca tecnologia, com nenhuma dificuldade aos usuários para adquirir o hardware. As mudanças no relacionamento também são mínimas. Clicando em faces ou memórias, falas ou tipos de frases, que é tão simples que até o usuário com mais fobia por tecnologia pode se adaptar.
Finalmente, cada uma dessas soluções pode ser reiniciada. Este é uma freqüente visão geral da defasagem de outras formas de autenticação. Se a base de dados usada para autenticar a sua íris está comprometida, o que você faz? Se estiver com um corte no dedo, será reconhecido?
Com o uso do comportamental, a biometria de voz e de cognição, você pode facilmente mudar de face e ser reconhecido, a frase usada para identificar a sua voz, a palavra usada para digitar ou o evento de que você precisa se lembrar.
Palavras online, ponte física de biometrias tradicionais
Ainda é muito cedo para desistir das biometrias tradicionais. O reconhecimento de impressões digitais pelo dedo avançou no mercado com um certo grau e a defasagem desta forma de biometria tradicional está corroendo. O custo dos leitores de impressão digital despencaram ao ponto de que eles estão embarcados em laptops baratos e acrescidos à leitores USBs que podem ser adquiridos por menos de 30 dólares nos EUA.
Outra vantagem da autenticação por impressão digital é que liga os mundos online e offline sem percalços. Pay By Touch, um provedor desse tipo de solução, ganhou nas vendas para o varejo usando a autenticação por leitura de impressão digital como uma substituição a cartões de débito, serviços de cheque e como uma forma de armazenar informações sem forçar os clientes a carregar os cartões de fidelidade.
De acordo com a Pay By Touch, este serviço de autenticação é usado por mais de 10 milhões de clientes em mais de 3 mil empresas de varejo. A maioria está na Europa e Ásia, mas muitos também nos EUA. A companhia pretende estender isso para o mundo online.
Outra organização que procura por autenticações físicas e online é a Encentuate, que provê etiquetas RFID que podem ser fixadas em equipamentos pessoais como pagers e telefones celulares. No Stamford Hospital, um hospital escola com mais de 300 camas de internação e 2,3 mil funcionários, a Encentuate usou a solução para ajudar unindo-os aos crachás de identificação dos funcionários. O hospital tinha investido em RFID para conquistar segurança, então quis encontrar uma forma de melhorar o investimento e oferecer autenticação online também.
De acordo com James Hodge, diretor de infra-estrutura e serviços de segurança da Stamford, os logons das estações de trabalho eram enfadonhos e complexos no hospital. Os profissionais de saúde confiaram em estações públicas enquanto faziam rondas e davam assistência aos pacientes.
Os intervalos foram programados para 20 minutos para não atrapalhar o tratamento aos clientes. Entretanto, as pessoas comumente esqueciam de sair do sistema e quando alguma outra pessoa ia usar a estação, a única forma para acessar seus próprios dados é reiniciando a máquina.
Com esses sistemas, os intervalos estão menores porque é uma rápida troca de usuários. Stamford também percebeu um retorno considerável do investimento. Stamford ainda tem usuários baseados em Windows com nomes de usuário e senhas, mas as etiquetas RFID permitem um acesso único, melhor do que forçando usuários a ter múltiplas senhas para diferentes aplicações. “Nós usávamos uma média de 2,2 mil requisições por mês. Imediatamente reduzimos esse número em 30%”, diz.
Depois da autenticação
Para instituições que têm atingido regulamentações básicas flexíveis, o próximo desafio é no que pode acontecer depois de autenticações iniciais. “Freqüentes autenticações determinam políticas”, diz George Tubin, analista sênior em canais para o TowerGroup. “A base de risco e monitoramento de comportamento estão monitoradas no que pode vir depois. Eles provêm boa segurança, não são intrusivos e não são terrivelmente caros de desenvolver”, comenta.
O risco pode recair ao equipamento que você usa para se autenticar, sua localização ou as atividades que pretende executar. Se alguma coisa atípica ou suspeita, um alarme pode soar. Depois disso, usuários podem ser questionados por autenticações adicionais ou suas atividades podem ser limitadas. A detecção de fraudes podem ser usadas por cartões de débito de companhias por anos, mas não foi amplamente adotado por bancos eletrônicos e comércio eletrônico.
“Eventualmente, a autenticação vai somente ser a porta da frente”, afirma Tubin. “Com relacionamento e monitoramento de transações em andamento, suas atividades podem ser comparadas com o que você normalmente faz e com assinaturas conhecidas”. A expectativa é que mesmo se sua identidade for comprometida, camadas de segurança por trás da autenticação podem limitar os danos cibernéticos.
