DevSecOps

24 mar, 2017

(2+2) biometria, a senha que não podemos mudar

Publicidade

A utilização de dados biométricos tem sido ampliada em todo Brasil. Para os cidadãos, fica mais fácil ter acesso a serviços e a informações utilizando apenas a ponta dos dedos. Não é necessário PIN, token, lembrar de senhas, nada disso. É só colocar a mão e o sistema reconhece sua identidade.

Para as instituições, existe uma garantia da identidade que também facilita a gestão e acaba reduzindo custos operacionais. Vemos, por exemplo, o caso da justiça eleitoral, que está com seu cadastramento biométrico andando o Brasil inteiro a todo vapor.

Na iniciativa privada, o Banco Santander é outro exemplo, com adoção da biometria obrigatória para todos os seus clientes. Através dela, os clientes conseguem fazer saques apenas com suas digitais. Em outros bancos, como o Itaú e o Bradesco, a adoção também está em andamento. E suas mãos (sem digitar) dão acesso a um limite maior de saques, dentre outras coisas.

Parece tudo ótimo, mas há outro lado da nova tecnologia que pode trazer receios.

Os dados biométricos funcionam como uma senha, mas é uma senha que você não pode mudar!
E ao contrário do que pode parecer, os dados biométricos podem, sim, ser roubados. Assim como eles são capturados na hora em que você cadastra os dados, eles podem ser capturados por golpistas bem equipados e muitas vezes nem tanto.

No ano de 1987, já em sua 3ª temporada, MacGyver captura a digital de um dos vilões de plantão para recuperar diamantes.

Se você acha que capturar digitais é algo muito avançado, de outro mundo, veja que não é bem assim:

É claro que a tecnologia avança, e as coisas vão ficando mais sofisticadas, mas isso não necessariamente vai impedir muita coisa.

Em 2016, o seriado MacGyver é relançado. Por mais que o novo não nos capture da mesma forma que o original, já na sua cena de abertura, a homenagem ao episódio de 1987 é evidente, pois MacGyver captura os dados biométricos de mais um vilão.

Tá, mas isso é ficção, não é porque o MacGyver conseguia fazer tantas coisas que isso é, de fato, possível. Bom, então o que dizer deste golpe aplicado em São Paulo?

Uma vez que seus dados biométricos foram salvos, é apenas uma questão de tempo para que seus dados estejam em todos os lugares. Assim como hoje a justiça eleitoral vende seus dados, o que impedirá que vendam também seus dados biométricos? Não faz sentido tornar as compras mais seguras conferindo os dados com a biometria?

A questão básica da segurança biométrica não é o reconhecimento da identidade. Essa parte pode ter falhas, mas realmente vai avançar em passos largos. O problema básico é que os dados biométricos precisam de um ambiente controlado toda vez que os dados forem capturados.

Se em um caixa eletrônico não houver monitoria do ambiente, golpistas terão tempo e tranquilidade para fazer como MacGyver fez e, eventualmente, burlar o sistema.

Como exemplo que pode ajudar a entender a diferença, na entrada de fronteira nos Estados Unidos, o CBP tem aumentado a cobertura de dados biométricos. As máquinas que coletam dados combinam suas digitais com foto tirada na hora. A máquina muda de altura para capturar sua foto no ângulo adequado.

E não é só a combinação de fatores. As máquinas são policiadas por agentes, que estão constantemente olhando para ver se não há manipulação indevida do equipamento.

Depois disso, outro agente ainda vai ver se você é mesmo a pessoa que capturou os dados na máquina.
Ou seja, o escrutínio sobre o processo de captura dos dados é grande. Não tem uma máquina abandonada e sujeita a todos os tipos fraude.

Olhe o vídeo abaixo, em Singapura. Será que, sem agentes, a segurança de imigração deles é realmente tão boa assim?

Dados biométricos são senhas que você não pode mudar! Uma vez que roubarem sua senha, ela está roubada para sempre.

Imagine se o processo de abertura de conta usa apenas dados biométricos em um ambiente não controlado (por exemplo, via mobile)? Imagine o que dá para fazer nos caixas eletrônicos se apenas com os dados biométricos é possível sacar dinheiro? Se todos os bancos adotarem estas medidas, alguém que teve dados biométricos roubados não poderá mais ter contas em banco algum!

Ou imagine um ataque anterior. Antes mesmo de você cadastrar sua biometria, alguém com sua identidade falsificada, ou com a conivência de apenas um único funcionário, coloca a biometria do ladrão no lugar da sua. Será difícil restaurar sua identidade. Afinal, como mostro que eu sou eu, se os meus dados biométricos são de outra pessoa?

Não há dúvidas! Ter acesso à sua identidade pode causar tremendos prejuízos, e não apenas para você.
Veja o golpe recente em que bandidos assumem sua identidade no WhatsApp.

A questão é séria, e a biometria veio para ficar. Então o ponto fundamental é: como vamos lidar com isso?

IMHO, temos a responsabilidade de exigir a segurança apropriada. Hoje, usar biometria é relativamente barato, principalmente ao eximir instituições de grande parte dos riscos. Nós teremos que exigir a proteção adequada.

Ao utilizar biometria, tenha certeza de que as autenticações utilizem múltiplos fatores, e não apenas a biometria.

Combinar senhas (que você possa alterar) e dados biométricos é importante. É fundamental que tenhamos a certeza dos momentos de captura dos dados biométricos têm o escrutínio necessário.

Em um mundo onde a moeda digital é muito mais abundante que a moeda em papel, não duvide: sua identidade é seu maior valor. É a sua identidade que vai te dar acesso a tudo que conquistou com seu suor, no dia a dia.

Ficou alguma dúvida ou tem alguma opinião sobre o assunto? Deixe sua contribuição abaixo!

Até a próxima.

***

Artigo publicado originalmente em: http://www.concretesolutions.com.br/2017/03/16/biometria-senha-nao-mudar/