É uma realidade que, nestes tempos, nosso rosto, nossa voz e nossas impressões digitais estão se tornando fatores estelares no cuidado com a identidade do cidadão.
Seja através dos leitores locais de cada dispositivo ou software independente do hardware de nosso telefone, a verdade é que já é comum destravar uma aplicação usando a impressão digital ou sorrindo para a câmera. Em torno destes novos métodos, foram criados mitos sobre os quais é necessário fazer certos esclarecimentos.
Os leitores de impressões digitais ou aplicações de reconhecimento facial são sistemas proprietários do telefone e, até agora, ninguém pode garantir que os dados biométricos capturados possam sair do telefone: eles são projetados para serem executados, e fornecem funcionalidade, somente dentro do dispositivo. Embora seja verdade que qualquer desenvolvedor de aplicativos móveis possa fazer uso deles, o acesso é dado para verificar se a pessoa que coloca sua impressão digital ou está na frente da câmera é de fato "um dos usuários autorizados ao telefone". Mesmo assim, o desenvolvedor não pode garantir a identidade específica do usuário.
Tendo esclarecido este ponto, há também mitos sobre o acesso à informação usando técnicas de hacking, emulando o cidadão, o verdadeiro proprietário do dispositivo, ou roubando dados biométricos, em muitos casos chamados "minutiae". É fundamental abordar esta questão a partir de três perspectivas:
Tecnológica. Duas empresas de renome internacional, como a Apple e a Samsung, tiveram seus sistemas biométricos violados poucos dias após o lançamento, com técnicas que imitam o proprietário ou usuário inscrito no sistema. Por outro lado, o hardware da maioria dos dispositivos não pode avaliar se a impressão digital vem de um dedo que está vivo ou de uma máscara, um boneco ou um vídeo em definição 4K, pois eles capturam imagens em duas dimensões (2D).
Transaccional. A fim de definir corretamente o nível de risco de tal implementação, é necessário avaliar o tipo de transações a serem autorizadas com este método de autenticação de identidade, as funcionalidades fornecidas ao usuário e que modificações de dados pessoais, confidenciais e proprietários serão permitidas.
Impacto. Entretanto, uma vez que o sistema de reconhecimento, seja de impressão digital ou facial, é violado, o impacto é muito menor do que se possa pensar, pois só permite o acesso às transações telefônicas mais comuns, geralmente associadas a um comportamento muito pessoal.
O principal objetivo deste tipo de implementações é evitar ataques massivos e o roubo de dados biométricos ou confidenciais, ou bibliotecas com bilhões de rostos de todo o mundo.
Sobre a VU - http://www.vusecurity.com é uma empresa especializada no desenvolvimento de software de segurança cibernética, com foco na prevenção de fraudes e proteção de identidade. Sua missão é proporcionar experiências digitais sem atritos e seguras tanto para os cidadãos quanto para as empresas. É a única empresa da região alinhada às melhores práticas de autenticação internacional, membro da FIDO Alliance, OATH e OIC. Fundada em 2007, tem escritórios na Argentina, Chile, Uruguai, Equador, Colômbia, Costa Rica, México e Peru.
Siga-nos nas redes sociais:
Facebook: https://www.facebook.com/vusecllc/
Twitter: https://twitter.com/vusecurity
LinkedIn: https://www.linkedin.com/company/vu-security-sa
Autor: Sebastian Stranieri
Conecte