Por Dr. Mohamed Lazzouni
Este artigo foi publicado pela primeira vez na SC Media.
Os dados biométricos se tornaram o padrão preferido para verificação de Identidade . Recentemente, a Amazon ganhou as manchetes ao lançar chaves de acesso baseadas em biometria que permitem aos usuários acessar contas e serviços simplesmente mostrando face. Isso elimina a necessidade de lembrar senhas complicadas.
Além disso, a biometria é quase impossível de ser subvertida, especialmente agora que ela é frequentemente acompanhada por recursos de detecção de liveness que podem distinguir entre uma foto e o face de uma pessoa real, ajudando assim a impedir impostores.
A biometria promete aumentar segurança e melhorar drasticamente a experiência do usuário. De acordo com uma de nossas pesquisas recentes, mais da metade dos consumidores prefere se inscrever em um novo produto ou serviço usando a biometria, e essa verificação fácil aumenta a probabilidade de eles continuarem usando o produto ou serviço.
Apesar dos benefícios, as organizações devem considerar alguns fatores importantes para uma implementação biométrica bem-sucedida:
- Ofereça opções de Opt-In/Opt-Out: Dê aos usuários o controle sobre o uso de seus dados biométricos e ofereça alternativas para aqueles que não desejam fornecer dados biométricos. Vários estudos sugerem que os americanos estão bastante dispostos a usar a biometria. Entretanto, seus níveis de Confiança e conforto dependem muito do contexto em que a biometria é implementada. Embora os consumidores geralmente confiem mais na biometria em serviços financeiros, eles confiam menos no seu uso por grandes empresas de tecnologia e mídia social. Eticamente, podemos deixar todos os usuários à vontade oferecendo procedimentos claros de OptIn/OptOut, que dão aos usuários controle total sobre como seus dados biométricos são usados. Se uma pessoa não quiser fornecer seus dados biométricos, as organizações devem sempre oferecer um meio alternativo para verificar Identidade. Na grande maioria dos casos, o desejo de conveniência vencerá e a maioria das pessoas escolherá o método biométrico. Um excelente exemplo: aeroportos de todo o país observaram que, com o uso da biometria, eles podem embarcar em voos em uma fração do tempo necessário para usar documentos de identificação padrão.
- Evite Viés: Escolha algoritmos treinados em diversos conjuntos de dados globais para minimizar o Viés. Nas últimas semanas, tem havido muitas notícias sobre Viés na biometria. Ao analisar todas as opções biométricas disponíveis no mercado, geralmente há uma grande discrepância em termos da capacidade dos vários algoritmos de alcançar neutralidade e equidade demográfica, tratando assim todos os indivíduos de forma equitativa. Portanto, para eliminar Viés com base em idade, gênero ou raça, certifique-se de que o algoritmo selecionado tenha sido treinado em conjuntos de dados extremamente diversificados de todo o mundo.
- Faça investimentos sensatos: Os produtos SaaS permitem uma implementação econômica para empresas de todos os portes. Aproveite a infraestrutura existente quando possível: Do ponto de vista técnico, apenas empresas grandes e estabelecidas podiam se dar ao luxo de implementar a biometria no passado, devido ao grande investimento inicial de tempo e trabalho necessários. Hoje, as organizações menores têm a oportunidade de implementar ofertas biométricas baseadas em SaaS, ideais para empresas de qualquer tamanho e imediatamente funcionais. Além disso, em aplicações de controle de acesso físico (garantindo que pessoas autorizadas possam acessar uma instalação), há uma ótima notícia: em muitos casos, as organizações não precisam adicionar uma nova infraestrutura (como câmeras ou leitores) nem substituir a infraestrutura existente. Elas podem aproveitar os equipamentos que já possuem, juntamente com a tendência de trazer seu próprio dispositivo (BYOD). A biometria combinada com o BYOD oferece automaticamente os níveis superiores de segurança associados à Autenticação multifator (MFA). Em resumo, ao avaliar as ofertas de biometria, é importante sempre considerar quanto dinheiro, tempo e recursos a empresa tem disponível para colocar um aplicativo em funcionamento. Evite o máximo possível "rasgar e substituir", pois isso gera desperdício.
- Praticar a transparência: Explicar claramente os protocolos de coleta, transferência, retenção e exclusão de dados biométricos. Use técnicas de criptografia e anonimização. Nunca armazene dados biométricos com PII. Além disso, ao implementar a biometria, as organizações devem ser totalmente transparentes em termos de como os dados são coletados, transferidos para processamento e retidos; e como e quando são descartados. Especificamente, as organizações devem destacar as proteções adicionais implementadas e a extensão (se houver) em que os dados biométricos são compartilhados com terceiros.
Como as equipes devem coletar e manter todos os dados biométricos?
Em relação à coleta, há técnicas que as equipes de segurança podem usar para garantir que os dados biométricos (uma impressão digital que serve como chave de acesso) nunca saiam do dispositivo que os captura. Com relação à transferência, use a criptografia tradicional para dados em trânsito e as organizações que lidam com os dados devem sempre seguir as práticas recomendadas, como o uso de uma VPN.
Na frente de retenção de dados, as organizações estão adotando uma variedade de abordagens inovadoras, incluindo a "biometria cancelável", em que uma imagem biométrica distorcida derivada da original é usada para Autenticação. Por exemplo, em vez de se registrar com um dedo verdadeiro (ou outra biometria), a impressão digital é intencionalmente distorcida de maneira repetitiva e uma nova impressão é usada. Se, por algum motivo, a impressão digital antiga for "roubada", é possível emitir uma "nova" impressão digital simplesmente alterando os parâmetros do processo de distorção.
Além disso, há uma nova técnica que divide os modelos biométricos em bits anônimos. Essa abordagem torna praticamente impossível para um hacker acessar modelos biométricos completos, no caso raro de um hacker conseguir acessar a rede. Outras proteções para dados biométricos armazenados incluem o apagamento de dados em intervalos regulares e nunca armazenar dados biométricos junto com informações de identificação pessoal (PII), de modo que, no caso improvável de um hacker acessar os dados biométricos, eles não terão valor.
Embora as vantagens e os benefícios da biometria sejam vastos, há questões éticas e técnicas importantes a serem consideradas antes da implementação. Procedimentos de consentimento claros e concisos, prevenção de Viés, investimento sensato e articulação completa dos protocolos de segurança e segurança de dados são vitais para o sucesso de qualquer iniciativa de biometria.
