Livro Branco
Faça o download do PDF aqui se estiver tendo problemas para visualizá-lo.
https://www.aware.com/wp-content/uploads/2019/04/WP_Multimodal-Approaches-for-Matching-and-Spoof-Detection_0319_email.pdf
Autenticação biométrica móvel: Abordagens multimodais para melhorar a matching e a detecção de falsificações
A grande maioria das implementações modernas de Autenticação se esforça para maximizar tanto a segurança e a conveniência, ou seja, para:
- Torne o mais difícil possível para um fraudador roubar ou falsificar os fatores de Autenticação do usuário legítimo (por exemplo, dispositivo, senha, token, biometria).
- Evite interferir no acesso ao ativo ou serviço protegido para o usuário legítimo.
- Dissuadir o usuário de contornar os mecanismos segurança pretendidos.
A Autenticação Multifator (MFA) visa a atender a esses objetivos, dificultando que os fraudadores burlem os mecanismos segurança sem aumentar a inconveniência para o usuário.
Os métodos Autenticação móvel geralmente usam dois fatores de Autenticação para aumentar segurança:
- Posse: algo que você tem, como o próprio smartphone.
- Conhecimento: algo que você sabe, como uma senha.
Eles também podem ser usados de forma "fora de banda", em que Autenticação em um dispositivo (autenticado) é usada para obter acesso por meio de outro canal, como em um site por meio de um navegador em um laptop.
Senhas: A falha na armadura da MFA
A proteção por senha é uma tecnologia de 50 anos que foi concebida para um mundo digital muito mais simples. Elas são as armaduras brilhantes do mundo da defesa cibernética - antiquadas, desajeitadas e ineficazes contra os modernos arsenais de hackers.
Primeiro, as senhas são vulneráveis a phishing, interceptação, adivinhação, ataques de força bruta e violações de dados em grande escala. Solicitações fraudulentas de redefinição de senha por e-mail, páginas da Web falsas destinadas a roubar credenciais e malware de keylogger (que registra as teclas digitadas fisicamente) são apenas alguns exemplos das técnicas de phishing e espionagem usadas para roubar senhas ou PINs.
Em segundo lugar, as senhas geralmente são armazenadas em um local central. Em setembro de 2017, a Deloitte Digital sofreu uma violação de dados que resultou na exposição de e-mails e senhas de até 350 clientes corporativos e governamentais. No início de 2017, os hackers também expuseram senhas de administradores da HBO em um roubo de dados de 1,5 terabyte.
Terceiro, os usuários têm um número cada vez maior de contas baseadas na Web e dependem de mais serviços digitais do que nunca. A prática recomendada é ter senhas diferentes para todos eles. No entanto, a única maneira viável de lembrar todas elas é com um gerenciador de senhas (a maioria dos quais custa dinheiro). Mas até mesmo os gerenciadores de senhas têm vulnerabilidades, como o "clipboard sniffing" (leitura do mecanismo de copiar e colar), de acordo com a pesquisa do TeamSIK do Instituto Fraunhofer. O uso de senhas em smartphones é ainda mais inconveniente e inseguro do que em outros dispositivos que oferecem algum meio razoavelmente seguro de armazenar senhas.
Por fim, outros fatores baseados em conhecimento, como perguntas segurança e senhas de uso único, também são inadequados. Uma pergunta de segurança pode ser adivinhada por meio de pesquisas em mídias sociais ou até mesmo roubada por outros meios de engenharia social (fingir ser outra pessoa para solicitar conhecimento). As senhas de uso único sucumbem a uma falha diferente: elas podem ser interceptadas.
Considerando a evolução radical de nossas redes e dispositivos de computação que ocorreu desde que as senhas foram inventadas, é óbvio que elas são lamentavelmente inseguras e inconvenientes. Autenticação precisa ser repensada, mas continuamos muito dependentes delas atualmente, de acordo com um relatório recente da Javelin Strategy & Research.
Biometria como alternativa
A biometria é uma alternativa atraente às senhas como um segundo fator de Autenticação porque é inerentemente conveniente e exclusiva. São fáceis de usar, mas difíceis de roubar e falsificar. Mas cada modalidade biométrica tem características exclusivas que trazem vantagens e desvantagens em termos de segurança e conveniência.
Biometria multimodal Cue para Autenticação
A biometria multimodal tem sido tradicionalmente vista como uma forma de melhorar o desempenho biométrico em termos de pontuações de falsas correspondências e falsas não correspondências; quanto mais dados puderem ser usados para a matching biométrica, melhor será o desempenho. Mas vários modos também podem ser usados para melhorar sua resistência à Fraude. Ao usar várias modalidades biométricas em conjunto, as vantagens de cada biometria podem ser exploradas e, ao mesmo tempo, neutralizar suas respectivas desvantagens. Essa combinação de várias modalidades será fundamental à medida que os métodos de falsificação se tornarem mais sofisticados.
Para ilustrar melhor esse ponto, considere alguns dos seguintes métodos multimodais e como eles ajudam na detecção de falsificação e no desempenho biométrico:
voz Biometria aprimorada com reconhecimento facial
Uma análise facial é realizada enquanto o usuário está falando para determinar a liveness do locutor. A análise em tempo real de como a boca se move quando o usuário fala uma frase secreta aleatória ajuda a garantir que a voz e a varredura de reconhecimento facial coincidam e que a amostra não seja uma gravação de áudio/vídeo da vítima-alvo reproduzida em um dispositivo.
Dinâmica de pressionamento de tecla aprimorada com reconhecimento facial
A dinâmica de pressionamento de teclas usa a cadência de digitação exclusiva do usuário como biometria comportamental. Uma imagem facial pode ser capturada enquanto o usuário digita um nome de usuário ou PIN. Isso adiciona o reconhecimento facial à análise sem aumentar o tempo de captura. Juntos, eles acrescentam barreiras à falsificação e à Fraude que só são possíveis com várias modalidades.
Esses métodos Autenticação multimodal não apenas melhoram o desempenho biométrico, mas também dificultam a falsificação de varreduras biométricas por fraudadores. Eles também evitam afetar negativamente a experiência do usuário ao operar simultaneamente.
Autenticação Forte acaba de ficar mais forte
Autenticação Biométrica promete fornecer um substituto adequadamente moderno para a proteção por senha, perguntas segurança e senhas de uso único. Embora possa estar em sua infância, a biometria está evoluindo rapidamente e sua adoção está aumentando em um ritmo exponencial. Ao melhorar simultaneamente segurança e a conveniência, espera-se que a biometria multimodal substitua a MFA baseada em senha e melhore permanentemente Autenticação como a conhecemos.
A biometria multimodal reduz a possibilidade de falsificações, tornando muito mais difícil para os fraudadores atacarem com biometrias roubadas e não vivas. Sua precisão também reduz a probabilidade de falsas correspondências e falsas não correspondências, melhorando o desempenho e a conveniência para os usuários finais.
Em nosso próximo artigo: Arquitetura centrada no dispositivo versus arquitetura centrada no servidor
A detecção eficaz da liveness é essencial para a implementação bem-sucedida da biometria, mas também o é a segurança subjacente do mecanismo de armazenamento e matching de amostras biométricas, que pode ser implementado usando uma arquitetura centrada no dispositivo ou no servidor. A decisão de qual implementar depende de vários fatores:
- segurança dos dispositivos: Qual é o nível de confiança na capacidade do dispositivo e do aplicativo de proteger os dados biométricos?
- segurança do servidor: Qual é o nível de confiança na capacidade de proteger os dados biométricos de forma centralizada? Qual é o risco de uma violação?
- Utilidade dos dados no lado do servidor: Os dados biométricos podem ser usados para outros fins, como treinamento de algoritmos ou verificação em relação a outros dados (por exemplo, carteira de motorista ou fotos de identificação de funcionários)?
- Escalabilidade: quantas pessoas usarão o aplicativo móvel? É mais atraente adicionar complexidade a um aplicativo ou ao back-end?
- Capacidade da rede sem fio: Qual é o tamanho máximo de um aplicativo para download conveniente? Qual é o impacto na velocidade da Autenticação?
- Memória do dispositivo e capacidade de processamento: Muitos clientes usam dispositivos menos potentes que se beneficiarão do processamento no lado do servidor?
- Padrões: Quão desejável é o uso de tecnologia baseada em padrões, como a FIDO?
- Capacidade entre dispositivos: qual é a importância para os usuários de poder usar vários dispositivos?
Assine o Biometrics Blog da Aware para receber nosso próximo artigo, que comparará e contrastará diferentes arquiteturas de Autenticação biométrica. A arquitetura certa para um determinado aplicativo e ambiente depende das respostas às perguntas acima e do peso da consideração dada a cada uma delas com base nas prioridades comerciais.
