A maioria de nós protege nossas vidas digitais com senhas – esperançosamente, senhas fortes e diferentes para cada serviço que usamos. Mas o fraquezas inerentes às senhas estão se tornando mais aparentes: esta semana, Evernote redefiniu 50 milhões de senhas após uma violação, e isso é apenas o mais recente de uma série de gafes relacionadas a senhas de alto perfil do Twitter, Sony, Dropbox, Facebook e outros.
A segurança não é um problema que a biometria pode resolver? As tecnologias biométricas permitem o acesso com base em características únicas e imutáveis sobre nós mesmos – de preferência, algo que não pode ser roubado ou falsificado. Embora muitas vezes seja material de filmes de espionagem, grandes empresas, governos e até mesmo partes da academia têm usado autenticação biométrica, como impressões digitais, reconhecimento de voz e até varreduras faciais para autenticar usuários durante anos.
Vídeos recomendados
Então, por que o resto de nós não usa essas ferramentas para proteger nossos dispositivos, aplicativos e dados? Não pode ser tão difícil... pode?
Relacionado
- Huawei diz que promessas de flexibilização de restrições ainda não mudaram a situação
O mito das impressões digitais
Durante séculos (talvez até milênios), as impressões digitais têm sido usadas para verificar a identidade, e os scanners de impressões digitais têm sido opções nos principais computadores empresariais há cerca de uma década. Normalmente, os usuários passam o dedo sobre um scanner unidimensional estreito e o sistema compara os dados com um usuário autorizado. O processo de digitalização e correspondência é complexo, mas à medida que a tecnologia evoluiu, a precisão melhorou e os custos diminuíram.
Mas os leitores de impressões digitais têm desvantagens. Os mais óbvios são ferimentos como queimaduras e cortes – imagine ficar sem acesso ao telefone ou computador por uma semana porque um pegador de panela escorregou. Manchas, tinta, protetor solar, umidade, sujeira, óleos e até loções podem interferir nos leitores de impressões digitais, e algumas impressões digitais simplesmente não podem ser digitalizadas facilmente. Pessoalmente, sou um bom exemplo - partes das pontas dos meus dedos estão desgastadas (ou com bolhas) de tanto tocar instrumentos, mas muitas pessoas que trabalham com as mãos geralmente apresentam sulcos finos (ou nenhum) em seus dedos. Policiais treinados poderiam tirar impressões digitais de mim se eu fosse levado para o condado, mas minha sorte com impressões digitais leitores em cadernos é péssimo, e não consigo imaginar usar um no telefone - lá fora, na chuva, já que moro em Seattle.
Até agora, houve apenas um smartphone convencional com leitor de impressão digital – o Motorola Atrix, que não deu em nada junto com o da Motorola Webtop tecnologia. Mas as coisas podem estar mudando: por exemplo, o recente lançamento da Apple aquisição da Authentec o ano passado alimentou especulações de que futuros iPhones e dispositivos iOS oferecerão reconhecimento de impressão digital e uma empresa de tecnologia de impressão digital de longa data Ultra-digitalização diz ter um leitor ultrassônico 100 vezes mais preciso do que qualquer outro no mercado.
“Acredito que a mudança para o uso de impressões digitais em produtos eletrônicos de consumo acontecerá muito rapidamente”, escreveu Vance Bjorn, CTO da empresa de gerenciamento de acesso. Personagem Digital. “As senhas são amplamente consideradas o elo mais fraco da segurança e estão se tornando ainda menos convenientes à medida que os consumidores precisam digitá-las em smartphones e por meio de telas sensíveis ao toque. O uso de uma impressão digital para autenticação resolve ambos os problemas: segurança e conveniência.”
Sua voz é sua senha
A autenticação por voz parece adequada para smartphones: eles já foram projetados para lidar com a voz humana e incluem tecnologias como filtragem de ruído e processamento de sinal. Tal como acontece com os leitores de impressões digitais, a tecnologia de autenticação por voz existe há anos em instalações de alta segurança, mas ainda não se infiltrou nos principais produtos eletrónicos de consumo.
As abordagens para a identificação do locutor variam, mas todas precisam lidar com variações na fala, ruído de fundo e diferenças de temperatura e pressão do ar. Alguns sistemas comparam alto-falantes com frases pré-gravadas de um usuário autorizado, como um número PIN. Sistemas mais sofisticados realizam cálculos complexos para determinar as características acústicas do alto-falante. trato vocal e até comparar padrões e estilos de fala para determinar se alguém é (literalmente) quem diz ser são.
A primeira abordagem é frágil e pode bloquear usuários resfriados ou com tosse. Eles também são vulneráveis a gravações. Hacker reformado Kevin Mitnick tem falada de enganar o CEO de uma empresa financeira para que ele dissesse os números de zero a nove, registrasse os números e os usasse para contornar a autenticação de voz por telefone do banco.
Abordagens mais sofisticadas podem ser computacionalmente intensivas. Hoje em dia, o trabalho pesado é muitas vezes feito no recebendo fim – o que significa que seus dados biométricos são transferidos, muitas vezes sem nenhuma proteção.
“A tecnologia de voz existente usa o equivalente a senhas de texto simples”, disse Manas Pathak, pesquisador em autenticação de voz com preservação de privacidade que concluiu recentemente seu doutorado. na Universidade Carnegie Mellon. “Você está entregando parte da sua identidade ao sistema.”
Uma impressão de voz armazenada em um sistema remoto pode ser roubada da mesma forma que um arquivo de senha. Além disso, os dados de voz por si só podem revelar o nosso género e nacionalidade – até mesmo a nossa idade e estado emocional.
Desenvolvimentos recentes visam contornar esses problemas. Um novo padrão aberto que está sendo desenvolvido pela Aliança FIDO suportaria vários métodos de autenticação, mas os dados biométricos nunca sairiam dos dispositivos dos usuários. Pathak e outros pesquisadores desenvolveram um sistema sofisticado que cria uma representação estável da voz do usuário (falando sobre qualquer coisa), divide-o em amostras semelhantes e depois protege-as criptograficamente antes de executar qualquer comparação. Os sistemas remotos nunca veem os dados biométricos dos usuários e não podem ser recriados.
“Temos cerca de 95% de precisão”, disse Pathak. “Precisaríamos instalá-lo em mais telefones com implantação e testes mais amplos. Isso está fora do domínio da pesquisa acadêmica, mas está pronto para comercialização.”
Ainda assim, é difícil desconsiderar o ruído e os fatores ambientais. Ruído do trânsito, conversas, televisões, música e outros sons podem reduzir a precisão. Há momentos em que o reconhecimento de voz simplesmente não é prático: imagine alguém em um ônibus ou metrô gritando com o telefone para desbloqueá-lo.
Enfrente o rosto
O reconhecimento facial e a leitura da íris são outras formas comuns de autenticação biométrica – e podem tornar sentido para produtos eletrônicos de consumo, já que quase todos os nossos telefones e tablets possuem alta resolução câmeras.
Os sistemas de reconhecimento facial funcionam observando o tamanho, a forma e as distâncias entre pontos de referência em um rosto, como olhos, mandíbula, nariz e maçãs do rosto. Alguns sistemas também consideram elementos como rugas e manchas, enquanto alguns equipamentos de última geração constroem modelos 3D – que funcionam até mesmo com vistas de perfil.
A maioria de nós já viu a tecnologia de reconhecimento facial no Facebook e em aplicativos como o iPhoto da Apple – e os resultados são bastante desiguais. Os sistemas comerciais de reconhecimento facial são mais robustos, mas enfrentam as mesmas coisas que podem tornar os esforços do Facebook ridículos: fotos de baixa qualidade. Iluminação ruim, óculos, sorrisos, expressões bobas, chapéus e até cortes de cabelo podem causar problemas. Mesmo os melhores sistemas de reconhecimento facial enfrentam dificuldades com imagens angulares, e os rostos das pessoas podem mudar radicalmente com a idade, o peso, as condições médicas e as lesões.
“Há alguns anos, tínhamos um sistema de reconhecimento facial de última geração que falhava quase sempre com um engenheiro sênior”, disse um coordenador de segurança de uma empresa da área de Boston que não quis ser identificado. "Por que? Ele parece um cientista maluco, com óculos grossos, cabelo maluco e barba cheia. Mas eu mesmo falhei no mesmo sistema após uma cirurgia ocular, quando usei um adesivo por algumas semanas.”
O reconhecimento da íris aplica tecnologias de correspondência de padrões à textura (não à cor) da íris de um usuário, geralmente com uma pequena ajuda da luz infravermelha. Os padrões de íris são provavelmente tão únicos quanto as impressões digitais – e geralmente são muito mais estáveis. Além disso, a correspondência de padrões de íris não requer muito poder de processamento e (em boas condições) tem taxas de correspondência falsa muito baixas.
Durante anos, a tecnologia de reconhecimento da íris esteve em grande parte bloqueada por patentes importantes detidas por iridiano, mas essas patentes expiraram há alguns anos e o campo tem visto novos desenvolvimentos significativos. No entanto, grande parte tem sido destinada a programas de identificação financiados pelo governo, e não a aplicações de consumo.
O reconhecimento da íris também apresenta armadilhas. Os usuários provavelmente teriam que segurar um dispositivo próximo ao rosto, com iluminação decente e pouco ou nenhum movimento. A maioria dos óculos teria que ser removida, e alguns medicamentos e medicamentos podem deformar o padrão da íris ao dilatar ou contrair as pupilas – tente passar por um exame de íris após um exame oftalmológico.
Assim como a autenticação por voz pode ser vulnerável a gravações, os scanners de íris podem ser enganados por fotografias de qualidade ou até mesmo por lentes de contato impressas com íris falsas. Como resultado, neste momento a tecnologia é utilizada principalmente em situações supervisionadas por humanos – como imigração e controlo de passaportes – em vez de sistemas automatizados.
Protegendo-nos
Não há dúvida de que as senhas são uma forma cada vez mais fraca de proteger nossas vidas digitais, e as tecnologias de autenticação biométrica podem bloquear coisas usando algo que somos em vez de apenas algo que sabemos. No entanto, nenhuma destas tecnologias é uma solução mágica para a segurança digital: todas elas falham para algumas pessoas algumas vezes, e todas elas acarretam riscos e vulnerabilidades. Além disso, se alguma vez a informação biométrica for comprometida, poderá não haver caminho de volta. Afinal, você pode alterar sua senha, mas boa sorte ao mudar seus polegares.
No entanto, as tecnologias biométricas parecem prestes a migrar para a electrónica de consumo em breve, muito provavelmente em sistemas multifactores que oferecem uma camada de segurança para além das palavras-passe.
“As senhas nunca irão desaparecer – ‘o que você sabe’ continuará sendo uma ferramenta crítica para a segurança”, observou Vance Bjorn da Digital Persona. “Mas vejo em breve o dia em que essa ferramenta não será mais vista como suficiente para a maioria dos serviços de acesso dos consumidores ou funcionários.”
Imagens via Shutterstock/Sergei Nivens, Shutterstock / NREY & Shutterstock/Mike Taylor
Recomendações dos Editores
- Por que parei de usar meu smartwatch – e por que não olhei para trás
