Biometria comportamental - uma camada discreta de segurança para aplicativos móveis

Giovanni Verhaeghe, 27 de Fevereiro de 2018

Os aplicativos bancários móveis e os dispositivos em que são executados correm cada vez mais risco de serem comprometidos pelos cibercriminosos. Novos e sofisticados métodos de ataque tornaram obsoleto o esquema clássico de nome de usuário e senha. Até a autenticação de dois fatores mais segura, mas ainda básica, parece insuficiente, pois os hackers descobriram maneiras de enganar os usuários a inserirem senhas em interfaces de usuário falsas.

O principal desafio sempre foi criar um esquema de segurança dinâmico o suficiente para impedir hackers - sem impedir a usabilidade. Do ponto de vista do usuário, ter constantemente que adicionar novas credenciais, como senhas fortes e nomes de usuário exclusivos, é um aborrecimento e pode ser um motivo para mudar para um provedor de serviços diferente. Também provoca atalhos no comportamento, por exemplo, usando a mesma senha para várias plataformas ou senhas simples e fáceis de recuperar. Isso, por si só, compromete a segurança, pois torna mais fácil para os criminosos encontrar fraquezas a serem exploradas. Os dispositivos móveis são especialmente vulneráveis, pois os usuários tendem a ter menos atenção à segurança do que em computadores ou laptops.

C amadas Erigidos, Camadas em Colapso

Conforme mencionado no FinancialIT.net, as novas camadas de segurança adicionadas também são comprometidas pelas implementações de bugs ou pelos pontos fracos inerentes aos dispositivos móveis e seus sistemas operacionais. Os cibercriminosos estão constantemente trabalhando para encontrar novas maneiras de explorar essas vulnerabilidades. Cada hack bem-sucedido significa que os desenvolvedores precisam melhorar as camadas de segurança existentes ou adicionar uma nova camada que contribua para a complexidade geral. A tecnologia não é o único elemento alvo dos cibercriminosos. Eles estão tentando explorar a falta de conhecimento dos usuários. Imagine malwares de sobreposição, onde o usuário é apresentado com uma tela de login falsa. O cliente digita suas credenciais e qualquer código de autenticação enviado por SMS, enquanto o malware altera secretamente o número da conta de destino, por exemplo.

Por esses motivos, as instituições financeiras adicionaram, com razão, mais segurança discreta a seus aplicativos - segurança que não interfere na usabilidade. Por exemplo, levando em consideração a hora e o local em que os usuários efetuam login em seus aplicativos de banco móvel, os bancos podem detectar rapidamente tentativas de login potencialmente suspeitas. Se alguém tenta fazer uma grande transação no meio da noite do outro lado do mundo, algo geralmente não está certo. Bloquear a transação até que haja alguma verificação adicional é o melhor curso de ação. Mas as instituições financeiras podem adicionar mais elementos comportamentais à mistura, além do tempo e do local. Os exemplos incluem pressão dos dedos ao tocar ou deslizar a tela sensível ao toque do smartphone ou digitar a velocidade. Se algo estiver errado, pode ser que um dispositivo tenha sido roubado ou que o usuário esteja usando, sem saber, uma sobreposição criada por criminosos cibernéticos em vez do aplicativo bancário real.

Missing item de mídia.

Comportamento como fator adicionado

Esse tipo de segurança ficou conhecido como biometria comportamental e pode ser adicionado como uma camada adicional às soluções de segurança. Ao capturar a maneira como o usuário normalmente usa o dispositivo por um período de tempo, os algoritmos biométricos comportamentais podem definir uma espécie de 'impressão digital'. Se as ações do usuário corresponderem a essa impressão digital, há uma probabilidade maior de serem legítimas e não há necessidade de interferir e possivelmente comprometer a experiência do usuário. No entanto, uma mudança repentina de comportamento pode indicar algo suspeito. O banco pode intervir e solicitar uma verificação adicional.

Como mencionado no FinancialIT.net, como a biometria comportamental é uma maneira discreta de verificar transações, o ônus da segurança se afasta do usuário. Os usuários normalmente não notam a camada, pois não exige ação adicional deles. Por sua vez, isso significa que o tempo gasto na autenticação de um usuário é minimizado, portanto, o usuário gasta mais tempo usando o aplicativo real. O tempo todo, a sessão é protegida no nível que os usuários esperariam.

A biometria comportamental reduz a fraude enquanto minimiza a ocorrência de falsos positivos. Além disso, ele não se intromete na privacidade dos usuários, assim como a biometria tradicional, como bancos de dados de impressões digitais, digitalizações de íris ou impressões de voz. O padrão comportamental de um usuário é armazenado como uma equação matemática que é inútil para criminosos que procuram dados pessoais.

A biometria comportamental oferece segurança de transação a transação. Não garante apenas uma avenida. Isso dificulta a superação dos criminosos, pois não há uma fraqueza única que possa ser explorada. Ao mesmo tempo, o usuário não fica sobrecarregado com os desconfortos que as camadas de segurança adicionais normalmente trazem com eles.

Para obter mais informações sobre biometria, faça o download:

Biometria comportamental: melhore a segurança e a experiência do cliente

O artigo a seguir, de autoria de Giovanni Verhaeghe, diretor de estratégia de mercado e produto da VASCO, apareceu pela primeira vez em 04/02/2018 no Blog financeiro da IT.net .

Giovanni Verhaeghe é vice-presidente de desenvolvimento corporativo e operações de hardware da OneSpan. Ele ingressou na empresa em 2000 e foi fundamental para impulsionar o crescimento significativo da empresa. Giovanni atuou como diretor de produtos e gerenciamento de produtos da OneSpan e, mais recentemente, como diretor de estratégia corporativa e DPI. Ele estabeleceu os Centros de Inovação da OneSpan em Cambridge e Bruxelas. Antes de ingressar na OneSpan, Giovanni foi gerente de TI da