Serviços bancários: um olhar mais a fundo sobre a autenticação biométrica e sobre a detecção de vida

Samuel Bakken, 28 de Janeiro de 2020
Passwordless Banking: A Deeper Look at Biometric Authentication and Liveness Detection

Eu detesto senhas. Eu quero acessar mais serviços online e móveis sem ter de me atrapalhar com combinações de várias letras, caracteres e números. Senhas são inconvenientes e mais arriscadas do que quaisquer outras opções de autenticação disponíveis hoje, porque elas podem ser adivinhadas, roubadas ou decifradas. Por essa razão, tenho observado os avanços na autenticação biométrica como um fator de autenticação mais forte e mais seguro.

Um relatório do Gartner, de outubro de 2019, chamado “Technology Insight for Biometric Authentication”, afirma que a autenticação biométrica é adotada tipicamente para “…conseguir a autenticação sem senha, melhorando, desse modo, a UX e a CX (experiência de usuário/experiência de cliente) e elevando potencialmente a confiança e a responsabilidade”. Parece bom para mim, além de ser uma grande vantagem para organizações de serviços financeiros que estiverem competindo por clientes.

O relatório do Gartner chama o serviço bancário móvel de o “aplicativo matador” (ou seja, o que em breve será indispensável em casos de uso de serviços bancários móveis) para a autenticação biométrica. Acreditamos que agora é a hora de as instituições adotarem a autenticação biométrica para casos de uso de serviços bancários móveis para aumentar a confiança e a responsabilidade, bem como para melhorar a experiência de cliente – componentes chave para aumentar a receita de instituições financeiras.

Os consumidores estão prontos para a biometria no comércio e nos serviços bancários?

Uma pesquisa recente da Visa com 1.000 consumidores americanos, por exemplo, diz que sim. A maioria dos que responderam à pesquisa preferiu a autenticação biométrica à autenticação baseada em senha:

  • Eles disseram que a biometria é mais fácil (70%) e mais rápida (61%) do que as senhas
  • 52% afirmaram que trocariam de banco se o banco não oferecesse a autenticação biométrica no futuro
  • Os benefícios mais comuns citados da autenticação biométrica entre os que responderam à pesquisa foram
    • Não ter de lembrar de diversas senhas/PINs (50%)
    • Melhor segurança do que as senhas/PINs (46%)
    • Não esquecer/perder um método de autenticação (33%)

Ao medir a qualidade da experiência do cliente, as taxas de desistência de transações são uma métrica importante. Quase 50% dos entrevistados na pesquisa da Visa relataram a desistência de uma compra online por não conseguirem lembrar de uma senha. 

“Os benefícios para a CX da autenticação biométrica levaram a uma ascensão desta nos aplicativos de serviços bancários móveis nos últimos anos”, declara o relatório do Gartner. Ao avaliarem soluções de autenticação biométrica, as instituições financeiras têm de levar em conta as diferenças entre métodos de autenticação biométrica nativos do dispositivo ou de terceiros. Um benefício dos métodos biométricos de terceiros, que consiste em incorporar um SDK em um aplicativo móvel (como aquele oferecido pela OneSpan), é o fato de que os bancos podem servir mais indivíduos em sua base de clientes. Nem todos os usuários de dispositivos móveis têm dispositivos que incluem hardware e software nativo para a biometria. No entanto, quase todos os dispositivos móveis incluem uma câmera, que pode ser usada para capturar o rosto de um usuário para a autenticação biométrica.

A autenticação biométrica é mais confiável do que outros métodos de autenticação?

Eu diria que sim. A autenticação biométrica, de fato, é mais segura do que os outros métodos de autenticação. A chave para um sistema de autenticação biométrica confiável é a capacidade de detectar ou evitar que a tentativa de replicar características biométricas de outra pessoa viva. Uma impressão digital, “impressão facial” ou seja qual for a modalidade biométrica que você escolher não é simplesmente outra forma de senha ou token.

Sem análise adicional, não há maneira de dizer quem está fornecendo uma senha. Você só sabe que a senha foi inserida e que ela corresponde à senha que está no back-end. Por outro lado, um sistema de autenticação biométrica confiável, com detecção de vida eficaz e mitigações antigolpe fornece um indicador adicional de confiança, pois valida o sujeito/pessoa que está oferecendo a amostra biométrica para verificação. Isso ocorre porque a impressão digital, o rosto, ou [insira aqui sua modalidade biométrica favorita] é apresentada ao vivo e conectada com o próprio usuário.

Desmistificando uma ideia incorreta sobre a autenticação biométrica

De acordo com o Gartner, “A autenticação biométrica não pode depender e não depende do segredo de características biométricas. Em vez disso, ela confia na dificuldade de replicar uma pessoa viva apresentando a característica para um dispositivo de captura (‘sensor’). Este último ponto não é amplamente conhecido, o que leva a alguns enganosreforçado pela detecção de ataque de apresentação (PAD) limitado nos dispositivos do consumidor e na publicidade de ataques de sucesso contra o Apple Touch ID, sensores de toque da Samsung, reconhecimento facial do Android e assim por diante”.

Você provavelmente ouviu a crítica que diz que “você não consegue mudar sua impressão digital ou rosto se, em algum momento, for comprometido.” É verdade – você não pode mudar características biométricas, como pode fazer com uma senha. No entanto, a noção de que, caso um cibercriminoso roube seus dados biométricos, ele passará com sucesso em um desafio de autenticação correspondente no ponto da captura biométrica é equivocada.

1. Você não pode literalmente roubar o rosto/impressão digital/etc. de alguém vivo1 – Deixando de lado os filmes de terror, na realidade, os cibercriminosos geralmente não procuram remover (ou seja, “roubar”) o rosto ou impressão digital de alguém de seu corpo. Sistemas biométricos bem projetados não “armazenam” literalmente o rosto ou a impressão digital de alguém. Em vez disso, eles armazenam uma representação matemática da amostra biométrica inscrita no sistema (conhecida como o modelo). Somente a representação matemática de nada vale no ponto de captura (veja o ponto de destaque número um na imagem abaixo).

Da ISO/IEC 30107-1:2016(E)
Da ISO/IEC 30107-1:2016(E)
 

2. A apresentação ao vivo da característica biométrica é a chave – Conforme defende o relatório do Gartner, “Em um método de impressão digital robusto, não importaria que um criminoso apresentasse um fax da impressão digital da pessoa. Tudo o que não for o próprio dedo da pessoa (ainda preso ao corpo da pessoa viva) não funcionará”. Um ataque de apresentação consiste em um adversário apresentar uma reprodução de uma característica biométrica (um “golpe”) que lembre a referência armazenada de um usuário legítimo (por exemplo, modelos impressos em 3D, máscaras, imagens, vídeo, etc.). A detecção de vida identifica se a característica biométrica apresentada é de um ser humano vivo ou se é uma representação digital ou fabricada (ou, novamente, um golpe). A detecção de ataque de apresentação (PAD) é uma combinação de mecanismos antigolpe e de detecção de vida. Em alguns casos, o PAD em sistemas de biometria para consumo e nativos dos dispositivos podem não ser tão bons se comparados com tecnologia de autenticação biométrica de terceiros. A norma ISO/IEC 30107 detalha uma metodologia contra a qual a eficácia da PAD de uma solução biométrica pode ser medida.

Naturalmente, a segurança de ponta a ponta de um sistema de autenticação biométrica não para nos ataques de apresentação no sensor onde os dados biométricos são capturados. Ataques do tipo Replay são outro exemplo de risco, mas, em muitos casos, a tecnologia que garante a integridade do aplicativo – como a proteção de aplicativo móvel e a blindagem de aplicativo/RASP – ajudam a mitigar esses riscos. No entanto, as instituições financeiras precisam cuidar do design, da implementação, da implantação e da configuração da solução de autenticação biométrica.

Fala o download de “Technology Insight for Biometric Authentication”, do Gartner

Instituições financeiras que busquem fornecer uma experiência de usuário de maior qualidade e aumentar a confiança do consumidor em seus processos de autenticação devem olhar para o futuro e pensar na implementação da autenticação biométrica. Acreditamos que o relatório de insight forneça uma grande estrutura para preparar as IFs para a avaliação e seleção da melhor solução para suas necessidades, ao cobrir pontos chave como:

  • Casos de uso de autenticação biométrica que retornarão o maior valor (por exemplo, serviços bancários móveis e prova de identidade)
  • Questões de privacidade e confiança do consumidor
  • Redução dos riscos de segurança associados com a segurança da plataforma completa de autenticação biométrica – incluindo ataques de apresentação e mais
  • Como selecionar entre métodos nativos do dispositivo e os de terceiros
  • Fornecedores representantes, incluindo a OneSpan, que dão suporte à uma linha de modos e usos de caso de biometria

Faça o download de Technology Insight for Biometric Authentication do Gartner agora para ajudar você a se orientar em sua avaliação da tecnologia de autenticação biométrica.

O Gartner não endossa nenhum fornecedor, produto ou serviço descrito em suas publicações de pesquisa e não aconselha os usuários de tecnologia a selecionar apenas os fornecedores com as classificações mais altas ou outra designação. As publicações de pesquisa do Gartner consistem nas opiniões da organização de pesquisa do Gartner e não devem ser interpretadas como declarações de fato. O Gartner se isenta de todas as garantias, expressas ou implícitas, com relação a esta pesquisa, incluindo quaisquer garantias de comercialização ou adequação a uma finalidade específica.

Fontes:
Gartner, Technology Insight for Biometric Authentication, Ant Allan,16 de outubro de 2019

1. Claro que há casos em que a coerção, como forçar uma pessoa a abrir seu telefone sob a mira de uma arma, mas o mesmo vetor existe para senhas e PINs. Ainda há exemplos de pessoas que desbloqueiam o telefone do cônjuge que dorme com uma impressão digital — tecnologia de reconhecimento facial que inclui detecção de vida eficaz e tecnologia antigolpe reduzem este risco.

 

Sam é gerente sênior de marketing de produtos, responsável pelo portfólio de segurança de aplicativos móveis OneSpan e tem quase 10 anos de experiência em segurança da informação.