Biometria

O que são biométricos?

A biometria é uma característica física ou comportamental única para cada pessoa e é usada para autenticar um indivíduo para ter acesso a aplicações e outros recursos da rede. Exemplos de identificadores biométricos são as impressões digitais, os padrões faciais, os padrões de deslocamento, os ritmos de digitação ou a voz. A autenticação biométrica é uma componente popular da autenticação multifactor (AMF) porque combina um forte desafio de autenticação com uma experiência de utilizador de baixa fricção.

Segundo a Wikipédia, "os identificadores biométricos são muitas vezes categorizados como características fisiológicas versus comportamentais". As características fisiológicas estão relacionadas com a forma do corpo. Os exemplos incluem, mas não estão limitados à impressão digital, veias da palma da mão, reconhecimento facial, DNA, impressão palmar, geometria da mão, reconhecimento da íris, retina e odor/esquisito". A biometria comportamental está relacionada a um padrão de comportamento, como o ritmo de digitação de uma pessoa, ou como ela segura ou desliza seu telefone.

A biometria é cada vez mais utilizada em aplicações bancárias móveis, ajudando os clientes a entrar facilmente no sistema e adicionando outra camada de segurança. Os sistemas biométricos não dependem da informação biométrica, tal como uma imagem do seu rosto, sendo um segredo. Em contraste com as senhas e PINs, a biometria não pode ser esquecida ou compartilhada e é mais desafiadora para copiar ou roubar.  

Como é que a biometria funciona?

Um sistema biométrico tem três componentes diferentes. Deve haver um sensor para gravar e ler suas informações biométricas, como uma impressão digital. Quando estiver a utilizar a sua informação biométrica para aceder ao seu telemóvel, tem de haver um computador a armazenar em segurança a informação biométrica para comparação. O terceiro componente é o software para conectar o hardware do computador ao sensor

Biometria estática e biometria comportamental: Qual é a diferença?

Biometria Estática

A biometria estática utiliza características físicas, tais como uma digitalização de impressões digitais ou reconhecimento facial, para desbloquear telemóveis, iniciar sessão em contas bancárias ou fazer transacções.  

Aqui estão os principais tipos de biometria estática utilizados para verificar a sua identidade:

  • O software dereconhecimento facial analisa a distância entre seus olhos e a distância entre seu queixo e seu nariz para criar um modelo digital criptografado de seu rosto. Ao autenticá-lo, o software de reconhecimento facial irá digitalizar o seu rosto em tempo real e compará-lo com o modelo digital armazenado com segurança dentro do sistema. Sistemas de reconhecimento facial com "detecção de vivacidade ativa" requerem que você mova a cabeça, pestaneje ou execute outros movimentos. A detecção da vivacidade também pode ser passiva, trabalhando nos bastidores usando algoritmos para analisar amostras biométricas para sinais de que não são de uma pessoa ao vivo, como a detecção de papel, telas digitais ou recortes em uma máscara impressa em 3D. Uma forte detecção de vivacidade garante que seja o cliente real a apresentar a sua amostra biométrica ao sistema, e não um atacante a tentar imitar o indivíduo no que é chamado um ataque de apresentação.
  • Oreconhecimento de impressões digitais é uma das formas mais populares, se não a mais popular, de autenticação biométrica utilizada em dispositivos móveis. Foi originalmente popularizado pela Apple's Touch ID. Um leitor de impressões digitais analisa as cristas e padrões da sua impressão digital e compara-a com o modelo digital armazenado do seu dedo durante a autenticação. O reconhecimento de impressões digitais pode mudar se o seu dedo estiver molhado ou sujo. É um desafio para um atacante replicar a impressão digital de um indivíduo quando um sistema de reconhecimento de impressão digital tem uma forte detecção de vivacidade para ajudar a prevenir ataques de apresentação, que poderiam usar um modelo 3D ou uma imagem falsa.
  • Reconhecimento da íris: Existem dois métodos de varredura ocular para autenticar a identidade de uma pessoa. Em um exame de retina, uma luz brilha brevemente no olho para mostrar o padrão único de vasos sanguíneos no olho. Ao mapear este padrão, a ferramenta de reconhecimento dos olhos pode comparar os olhos de um usuário com um original. Numa varredura da íris, os anéis coloridos encontrados na íris são escaneados. Em alguns usos, o reconhecimento dos olhos pode ser tão rápido e preciso quanto o reconhecimento facial, mas pode ser difícil obter uma amostra para comparação à luz solar quando as pupilas se contraem. O reconhecimento da íris também pode ser menos confiável quando um cliente usa óculos.  
  • Oreconhecimento de voz analisa o som único da voz de uma pessoa, que é determinado pelo comprimento do seu tracto vocal e pela forma do seu nariz, boca e laringe. Analisar a voz de uma pessoa é um método forte de autenticação, mas um resfriado, bronquite, outras doenças e ruído de fundo podem distorcer a voz e perturbar a autenticação.
  • Oreconhecimento da geometria do dedo utiliza a geometria 3D do dedo para a verificação da identidade

Em geral, a biometria estática é considerada uma forma segura de autenticar os clientes e deve incluir a detecção de vida para combater as impressões digitais falsificadas ou fotos em um ataque de apresentação

Cover of Gartner guide

Gartner Market Guide for In-App Protection

Download the full Gartner Market Guide for In-App Protection to learn about the application security capabilities necessary to protect your mobile apps as well the major providers in the security space today.

Download Now

Biometria Comportamental

A biometria comportamental analisa seus hábitos e movimentos únicos para criar um padrão de comportamento que pode ser reconhecido quando você está digitando ou como você segura seu telefone. Tal como a biometria estática, a biometria comportamental acrescenta outra camada de segurança para verificar a sua identidade. FinancialIT.net diz: "Esta tecnologia de ponta utiliza sensores de movimento e inteligência artificial para identificar maneirismos únicos, como a forma como um telefone é mantido. É amplamente considerado como a última fronteira da segurança"

Aqui estão os principais tipos de biometria comportamental:

  • Oritmo das teclas analisa a forma e a velocidade da sua digitação para determinar padrões distintos. A quantidade de pressão de dedos utilizada quando você está digitando também pode ser colocada em um padrão reconhecível.
  • Como você segura seu telefone analisa o ângulo em que você segura seu telefone e a mão dominante que você usa quando usa seu telefone. A biometria comportamental também inclui como você desliza no seu telefone e com que mão.    
  • Sua marcha, ou como você caminha, é também um traço comportamental que pode ser estudado para um padrão. Além disso, o seu horário e localização habitual para logins e transações também podem ser colocados em um padrão comportamental.  

A biometria comportamental é uma experiência ininterrupta para os clientes, mas desafiadora para os fraudadores, pois cada indivíduo tem um perfil específico de seus hábitos e movimentos. Com a biometria comportamental, a sessão de um usuário é continuamente monitorada para que, se a qualquer momento for interrompida ou potencialmente sequestrada, o sistema possa reconhecê-la e tomar as medidas apropriadas para evitar fraudes antes que elas ocorram.

Como a biometria protege contra a fraude financeira

A biometria é utilizada por instituições financeiras para os seguintes fins

  1. Para verificação de identidade digital quando um cliente abre uma nova conta remotamente
  2. Para autenticação do cliente (ao fazer login ou para autenticação contínua durante toda a sessão bancária)
  3. Para autenticação da transação (para assegurar que o proprietário legítimo da conta é de fato a pessoa que inicia a transação)

Os consumidores estão cada vez mais confortáveis com a biometria e muitos estão a optar por utilizar uma impressão digital ou reconhecimento facial, por exemplo, como meio de autenticação e verificação de identidade com a sua instituição financeira. A biometria acrescenta outra camada de segurança e ajuda a elevar o nível de confiança que os clientes têm na sua instituição financeira. O Touch ID da Apple, introduzido em 2013, contribuiu para o aumento da biometria nos serviços bancários móveis porque fornece às instituições financeiras uma tecnologia baseada em dispositivos que podem utilizar para proteger a sua plataforma bancária móvel.  

Da mesma forma, o Android Fingerprint ID permite aos utilizadores verificar a sua identidade com uma impressão digital em alguns dispositivos Android. Javelin diz que os consumidores estão exigindo escolha de autenticação. Para mais de um terço dos usuários, os três métodos de autenticação que eles mais desejam que suas instituições financeiras apoiem são todas modalidades biométricas. Javelin também observa que, enquanto seria de esperar que os consumidores que querem escolha biométrica se concentrassem entre os clientes mais jovens, cerca de 40% tinham mais de 55 anos de idade

Como a biometria proporciona uma forte autenticação do cliente

A biometria faz parte de um processo de autenticação multi-factor (AMF), onde múltiplas tecnologias podem ser usadas para autenticar a identidade de alguém quando ele acessa uma sessão bancária ou faz uma transação financeira. Para alcançar a autenticação multi-factor (AMF), devem ser utilizados pelo menos dois factores diferentes de autenticação. Os factores de autenticação incluem:

Algo que você sabe

Geralmente é uma senha, PIN, senha ou perguntas com suas respostas correspondentes.  

Algo que você tem

Isto pode ser como um PIN único, ou seu smartphone com um aplicativo autenticador como o dispositivo que gera um código de acesso único nos bastidores.

Algo que você é

Isto é qualquer coisa desde impressões digitais, exames de retina, reconhecimento facial, reconhecimento de voz, ou o comportamento de um cliente (como o quão duro ou rápido eles digitam ou deslizam em uma tela) que pode ser usado para verificar um cliente único.

Como resultado, usar um PIN com reconhecimento facial é autenticação multi-factor porque combina algo que você sabe e algo que você é, enquanto que usar um PIN com uma senha não seria considerado autenticação multi-factor porque são simplesmente duas coisas que você sabe.

Como a biometria ajuda a proteger contra a fraude financeira

Usar a biometria como parte da Autenticação Forte do Cliente (SCA) ou MFA pode ajudar a mitigar diferentes tipos de ataques de fraude. Quando fraudadores invadem digitalmente uma conta bancária para assumir o controle da mesma, eles frequentemente usam táticas como phishing para persuadir as pessoas a revelarem inadvertidamente suas credenciais de login. O resultado é a tomada de controlo de contas, que é uma ameaça de topo para as instituições financeiras e seus clientes devido às perdas financeiras e aos esforços de mitigação envolvidos. A biometria pode ajudar a deter os atacantes no ponto de acesso (login), solicitando uma digitalização de impressões digitais ou uma digitalização facial. O atacante não será capaz de autenticar com sucesso e será impedido de entrar na conta de outra pessoa. Além disso, a detecção robusta de vivacidade e a detecção de falsificação tornam a situação ainda mais difícil para os atacantes. O atacante não poderá imitar a biometria de um cliente legítimo e será impedido de acessar a conta.  

Como a biometria ajuda a prevenir fraudes durante a abertura de conta remota

A biometria também tem um papel importante na prevenção de fraudes de identidade durante o processo de abertura de conta remota. Hoje, devido à COVID-19, muitos consumidores estão evitando visitas desnecessárias à agência do banco. Mesmo quando um novo candidato não está frente a frente com um representante do banco, o banco deve ainda assim verificar se o candidato remoto é de facto o legítimo proprietário de um documento de identidade, tal como um passaporte ou carta de condução. Isto é essencial na luta contra a fraude de aplicação.    

A biometria faz parte deste processo. Por exemplo, a comparação facial é utilizada para verificação de identidade, para garantir que o candidato remoto é quem diz ser. Uma vez verificada a autenticidade da carta de condução, passaporte ou outro documento de identificação emitido pelo governo, o requerente é convidado a fazer uma fotografia com o seu dispositivo móvel. Quando uma fotografia é usada para reconhecimento facial, a detecção da vivacidade pode ser aplicada para provar a presença humana genuína.  

Existem dois tipos de detecção de vivacidade para identificar se uma característica biométrica é de uma pessoa real ou se é uma representação digital ou fabricada. A detecção activa da vivacidade requer que uma pessoa pisque ou vire a cabeça, e a detecção passiva da vivacidade corre nos bastidores e usa algoritmos para detectar sinais de potencial falsificação. As tecnologias de comparação facial utilizam algoritmos avançados para olhar para dados biométricos das características de uma pessoa. Por exemplo, a posição e o tamanho dos olhos de uma pessoa em relação um ao outro podem ser usados para determinar se a fotografia e a identificação emitida pelo governo são da mesma pessoa

Como a biometria melhora a experiência do cliente

O uso da biometria está a tornar mais rápida e fácil para os clientes a interacção com a sua instituição financeira. A biometria é um meio mais seguro de autenticação do que as senhas, que muitas vezes são roubadas ou esquecidas. A biometria pode aumentar a confiança dos clientes na sua instituição financeira, porque é muito mais desafiante para os autores de fraudes terem sucesso com o uso de uma impressão digital falsa ou uma fotografia de si mesmo. Experiências positivas com biometria para verificação de identidade durante a abertura de uma conta remota e para autenticação de clientes durante o login também podem aumentar a lealdade e confiança dos clientes na sua instituição financeira.   

É importante notar que os modelos biométricos podem aprender com o tempo para que as mudanças nas características de uma pessoa devido ao envelhecimento sejam levadas em conta e não invalidem uma correspondência. Quando um usuário está se autenticando regularmente, pequenas mudanças na aparência não serão significativas o suficiente para invalidar a partida. Em vez disso, o modelo matemático de uma pessoa será atualizado à medida que as mudanças na aparência forem reconhecidas.

O que dizem os analistas sobre a biometria

Segundo Gartner, "A autenticação biométrica não pode e não depende do segredo dos traços biométricos, mas sim da dificuldade de personificar a pessoa viva apresentando o traço a um dispositivo de captura ("sensor") - ou seja, um ataque de apresentação". Gartner acrescenta que este ponto não é amplamente conhecido, levando a alguns equívocos comuns, reforçados pela detecção de ataques de apresentação limitada (PAD) em dispositivos de consumo e publicidade sobre ataques bem sucedidos contra o Apple Touch ID, sensores de deslize da Samsung, reconhecimento facial do Android e assim por diante. Os benefícios da autenticação biométrica para o cliente, diz Gartner, causaram um aumento nas aplicações bancárias móveis nos últimos anos.

AJuniper Research estimou que o hardware de reconhecimento facial, como a identificação facial em iPhones recentes, será a forma de hardware biométrico de smartphone que mais cresce. Espera-se que atinja mais de 800 milhões em 2024, em comparação com os 96 milhões estimados em 2019. A nova pesquisa, Mobile Payment Authentication: Biometrics, Regulation & Forecasts 2019-2024, entretanto, observa que a maioria do reconhecimento facial de smartphones será baseado em software, com mais de 1,3 bilhões de dispositivos tendo essa capacidade até 2024

A MarketResearch.com observa que o combate à fraude bancária no mundo digital precisa de tecnologias mais infalíveis. "A biometria é uma arma poderosa para combater a crescente ameaça de fraudes financeiras. A tecnologia está, portanto, a monopolizar os holofotes suportados por benefícios como a fácil autenticação à prova de tolos baseada em caracteres físicos únicos que são difíceis de replicar ou duplicar, ou seja, reconhecimento de voz, digitalização da íris, impressão digital e reconhecimento facial; eliminação da necessidade de lembrar senhas e gerenciar senhas de uso único (OTPs); maior segurança imune a estratégias de cyber hacking; conveniência inigualável; redução significativa do risco de roubo de identidade; experiência de usuário de maior qualidade; interface de usuário mínima a zero; economia de tempo e redução da carga de trabalho de autenticação de back office, entre outros", diz o MarketResearch.com. O mercado global de biometria para serviços bancários e financeiros está projetado para atingir US$ 10,8 bilhões até 2025.

Javelin diz que o armazenamento local de modelos biométricos no dispositivo de uma pessoa reduz os riscos associados ao comprometimento de dados, seja em trânsito ou através de atores maliciosos visando um armazenamento centralizado de dados biométricos. "Javelin também observa que, "Se um indivíduo malicioso é capaz de registrar com sucesso suas próprias características em um autenticador biométrico, então até mesmo o método de autenticação mais sofisticado ainda lhe permitirá passar por desafios de segurança. Consequentemente, muitos fornecedores oferecem ferramentas adicionais de avaliação de risco incorporadas na sua plataforma, tais como impressões digitais de dispositivos e geolocalização. Outras ferramentas, como a digitalização de documentos, oferecem suplementos naturais à digitalização biométrica, o que permite um grau de comparação entre a entrada biométrica capturada pelo usuário e a imagem em um documento de identificação"

Biometria e conformidade regulamentar

A biometria ajuda as organizações a cumprir os requisitos de Autenticação Forte do Cliente (SCA) da Segunda Directiva de Serviços de Pagamento da União Europeia (PSD2), que são regulamentos para os serviços de pagamento electrónico. Sob os requisitos da SCA, a autenticação deve ser baseada em dois ou mais dos seguintes factores: conhecimento (como senhas ou PINs), posse (como tokens ou dispositivos móveis) ou herança (biometria).

Nos termos do Regulamento Geral de Protecção de Dados da UE (GDPR), a autenticação de dois factores é necessária para o cumprimento. Isso significa que uma simples combinação de nome de usuário e senha não oferece mais segurança suficiente para a proteção de dados, uma vez que as senhas podem ser facilmente roubadas, compartilhadas ou exploradas. Em vez disso, a autenticação de dois fatores, ou 2FA, é usada para identificar uma pessoa quando dois dos três possíveis fatores de autenticação são combinados para conceder acesso a um website ou aplicativo: algo que a pessoa sabe, algo que a pessoa tem ou algo que a pessoa é, que envolve o uso de biometria, como uma impressão digital ou uma varredura facial.

Nos EUA, o maior regulador estadual, o Departamento de Serviços Financeiros de Nova York, emitiu um regulamento intitulado Cybersecurity Requirements for Financial Services Companies (Requisitos de Segurança Cibernética para Empresas de Serviços Financeiros). Requer o uso de autenticação multi-factor, que inclui a biometria, "para proteger contra o acesso não autorizado a informação não pública ou a sistemas de informação"

Entre em contato conosco

Entre em contacto com um dos nossos especialistas em segurança para saber mais sobre como as nossas soluções podem ajudar nas suas necessidades de segurança digital

Fale Conosco