Jean Carlos Cunha

.:: Diferente e eficiente::.

Biometria.: problemas e respostas

Neste post tera varios problemas com a biometria e as respostas.

Biometria é uma abordagem de segurança que oferece grande comodidade e segurança, mas apresenta também vários problemas práticos para usuários e desenvolvedores de soluções. Os problemas técnicos têm soluções técnicas, porém os mais difíceis de resolver são os de base social e cultural. As barreiras sociais e culturais são muito mais complicadas de solucionar, e precisam de muito mais planejamento. Culturalmente, uma solução padrão não se ajusta a todos os casos e isso é uma das principais causas de aumento de custo e de complexidade das soluções.

Os problemas de autenticar a identidade

Ao longo de um considerável tempo, o segmento de identificação pessoal da indústria de segurança de IT tem tentado melhorar o uso do identificador e senha como formas de autenticar o usuário de um serviço computacional. Os problemas de sistemas administrativos baseados em senhas, suas debilidades, e as formas clássicas de atacar ou subverter tais sistemas estão bem documentados e não precisam ser considerados neste artigo.
Muitos consideram que tais medidas de autenticação simples precisam ser reforçadas, e se refirem à autenticação de fator múltiplo, baseado em:
– um segredo que você conhece (senha);
– algo que você tem (um cartão);
– algo que você é (informação biométrica).
No mundo de Tecnologia da Informação, o método mais usado para autenticação de cartão é o cartão SecureID. Os smartcards para sistemas de acesso a serviços de transporte de massa e cartões de telefone são mais numerosos, embora eles realmente não autentiquem o usuário a posse do cartão autoriza o portador a usar o serviço.

A introdução de técnicas de segurança avançadas como criptografia de chave pública (mais conhecido como infra-estrutura de chave publica PKI) aumentou a necessidade de armazenar informações secretas (uma chave privada), porque um usuário podia nunca lembrar de uma senha muito complexa. Por exemplo, o sistema RSA 2048 exigiria que você se lembrasse de 256 caracteres e digitasse-os a cada uso!).

O aumento no número de fraudes, e em particular fraudes contra cartão de crédito, está criando demandas por métodos de segurança ainda mais robustos que os cartões de tarja magnética e cartões de assinaturas manuscritas. Algumas administradoras de cartão de crédito criaram um mecanismo extra de verificação, comumente composto por quatro dígitos de verificação no verso do cartão, no entanto esse sistema pode vir a ser comprometido e não é adotado por todas as operadoras.

Por que adotar a Biometria

A pressão de princípio para a adoção da Biometria vem de duas fontes: a indústria de finanças e a indústria da biometria em si. As empresas do ramo financeiro estão em uma busca contínua por um meio efetivo de reduzir fraude a um custo razoável. A meta é tornar possível provar que a transação financeira foi autenticada e que somente o indivíduo autorizado pode fazer isso.

As empresas da biometria desejam demonstrar claramente seu potencial comercial. Sua promessa é a de que se você precisar melhorar a ‘qualidade ‘ da funcionalidade de segurança de um sistema a biometria é a melhor opção.

Porém, é óbvio que usar mais de um mecanismo de autenticação do usuário tornará o sistema mais robusto desde que o mecanismo seja eficaz e não seja dependente de quaisquer outros mecanismos usados.

Características Biométricas

Biometria está relacionada a medição e reconhecimento de características específicas de uma pessoa, incluindo:
voz;
escrita e assinatura manuscrita;
impressão digital;
face;
retina do olho;
íris do olho.
Em um mundo ideal, você escolheria como identificador individual uma característica de uma pessoa que tenha características como:
– ser improvável para mudar;
– ser possível de identificar unicamente;
– ser não invasiva;
– ser difícil de copiar, roubar ou reproduzir.

Se você tornar essas características em uma matriz você terá os seguintes resultados. Essas características de medição são avaliadas pelo número de estrelas, médio e ótimo porque nem toda técnica é considerada precisa.

O resultado desejado é ter uma característica que nunca muda, são únicas para cada pessoa, pode ser conferida sem que o usuário se sinta exposto a qualquer procedimento de especial e que seja impossível que um intruso copie, roube ou duplique.

Os resultados de cópia recebem a interrogação porque até agora existem poucos relatórios com evidências de tentativas de se capturar e reproduzir impressões de retina e íris, considerando que as outras técnicas listadas tinham sido sujeitas a ataques deliberados que deram publicidade aos resultados.

Qual a precisão das medições

Infelizmente quando falarmos de medidas Biométricas não estamos falando sobre a precisão tipo zero ou um, mas sobre medidas estatísticas. As amostras são tomadas da característica biométrica que está sendo medida e armazenadas em um banco de dados. Pontos de amostragem são coletados, analisados e comparados com essas informações previamente capturadas. Isso não é, então, a precisão absoluta que associamos à computação, mas sobre combinar amostras de informações em um nível que nos faz confiante que eles são idênticos. Até que ponto podemos tornar as medições mais precisas está relacionado ao grau de invasão do método, tanto no registro inicial e quanto na tomada da amostra. Quanto mais precisas as medições, mais provável é o resultado certo.

Um dos perigos para um sistema de biometria é a medição feita em condições não ideais:
– A voz pode sofrer a interferência dos ruídos do ambiente e mesmo a voz de outras pessoas;
– As assinaturas podem ser feitas com a pessoa em pé, enclinada, com uma caneta desconfortável, ou mesmo estressada ou cansada;
– As impressões digitais podem ser afetadas por por dedos machucados, sujos, desalinhados;
– As características faciais podem ser afetadas por óculos, falta de óculos, iluminação do ambiente, machucados, mudanças na barba.

Os sistemas de medição devem tratar todos esses fatores críticos e ainda assim operar de forma aceitável.

As potenciais fontes de criam duas situações que são consideradas nos cálculos biométricos: falso aceito e falso rejeito. Como essas situações têm seus próprios impactos, o sistema de medição deve tratar esses erros de forma apropriada. Então você tem que entender que a operação do sistema possa ser ajustada ser mais ou menos preciso.

Biometria não é a mesma coisa que saber uma senha ou não, nem o mesmo que possuir um cartão ou não. Quando você pensar em um sistema biométrico pense cuidadosamente sobre o quão preciso ele pode e deve ser. A questão é o que fazer nos casos de dúvida.

Por que o método de operação é importante

O método de operação tem dois componentes distintos que devem ser considerados:
– O que a pessoa sendo autenticada deve fazer para usar o serviço;
– O que o operador de sistema deve fazer quando fracasso acontecer.
A pessoa sendo autenticada deve ter sua bio-identidade registrada antes poder ser autenticada. Os processos de cadastramento podem ser extremamente complicados e muito inconvenientes para os usuários. Isso é particularmente verdadeiro se o usuário sendo registrado não estiver familiarizado com que está acontecendo, por que deve ser feito e que proteção eles têm quanto ao uso de sua bio-identidade.

Ao coletar os valores de referência, que serão armazenados para as amostragens, deve-se tentar registrar a característica biométrica com a máxima precisão possível ou as comparações subseqüentes serão pobres e podem criar problemas operacionais e administrativos.

Uma vez a pessoa registrada você tem que pensar sobre como sua bio-identidade será conferida e em qual contexto.

Pode ser socialmente aceitável um exame em um equipamento especial para o esquadrinhamento de retina para se ganhar acesso a um estabelecimento militar altamente seguro quando isso for parte de sua função. A mesma situação pode não ser verdade em uma fila na saída de um supermercado. Também, você pode não ser capaz de usar certos tipos de lentes de contato.

Semelhantemente, pode ser aceitável para a polícia conferir sua impressão digital quando isto for exigido por lei mas não é tão aceitável ao se verificar uma transação de cartão de crédito.

O reconhecimento de voz pode ser bom se existir uma sala acústica privada, ou se a verificação puder ser feita como parte de conversação normal, mas pode ser impraticável se seqüências de números ou palavras especiais têm que ser pronunciadas em voz alta e em público.

Esses são fatores sociais e culturais. Em alguns países eles podem ser aceitáveis, em outros não. Coletar impressões digitais pode até ser crime em alguns países a menos que você esteja uma agência autorizada do governo.

O fato de um método ser aceitável em uma região não significa que funcionará em outro lugar, porque os próprios usuários podem se recusar a colaborar com o funcionamento do sistema.

E quando ocorrem falhas

Até agora nós temos assumido que nosso bio-sistema de identificação funciona perfeitamente, mas infelizmente eles não são tão perfeitos assim. Como já assinalado antes, as informações coletadas durante a captura podem não ter sido perfeitas, e as informações capturadas no ponto de verificação podem não ser perfeitas, ou pode ter mudado de algum modo, de como era apresentado mais cedo (dê uma olhada na fotografia de seu passaporte).

A ocorrência de falso positivo e falso negativo significa que algumas vezes ao longo do tempo (realmente bem poucas vezes) a pessoa certa será rejeitada e a pessoa errada pode ser aceita. O problema para o operador é que a pessoa certa será ocasionalmente rejeitada por uma pequena variação na coleta ou mesmo por uma imprecisão do sistema. Considere as seguintes questões:
· Que procedimentos o operador deve adotar ao lidar com a situação em que um usuário perfeitamente válido tenha sido recusado? Faz uma ‘melhor de três’ e o barra depois disso? Você tem algum outro teste que pode ser aplicado, e, nesse caso, qual teste é esse?
· Qual será o impacto disso sobre o usuário – trata-se de um cliente que poderia recusar usar seu serviço novamente, ou de um empregado que não pode se dar ao luxo de escolher?
· Qual será o impacto sobre seus procedimentos administrativos e operacionais se houver um mau funcionamento de equipamento que é difícil de descobrir e mais ainda de corrigir?

Esses não são problemas para a companhia fabricante do produto básico. São problemas que o desenvolvedor precisa superar por si próprio. As respostas vão variar significativamente de acordo com o propósito de negócio atentido pelo sistema, então não existe nenhuma solução simples aqui até que alguma experiência tenha sido adquirida em um projeto piloto.

A importância do projeto piloto

A biometria oferece uma abordagem prática ao estender as atuais tecnologias de segurança e torna mais difícil a fraude decorrente de acesso de impostores. Porém, a fim de fazer uso da Biometria nós precisamos registrar os usuários, um procedimento que pode ser caro, e desgastante para os usuários, e temos que ter um meio sociale culturalmente aceitável de conferir a biometria no ponto de autenticação. Estes problemas podem ocasionar também a necessidade de medidas adicionais para tratar as eventuais incorreções da biometria. Ao usar a biometria que nós devemos estar cientes do fato que não existem medições perfeitas, e que muitos fatores operacionais podem causar falhas.

Em casos de falha do sistema, procedimentos administrativos devem ser adotados para evitar reações adversas de clientes e a decorrente publicidade negativa e retaliação da opinião pública.

Ainda que esses fracassos não representem uma proporção significativa de transações, eles podem gerar uma publicidade que é muito mais prejudicial que todo o sucesso do serviço.

As experiências adquiridas em projetos piloto extensos são decisivas no momento de indicar como tratar os problemas e afinar o serviço para dar resultados esperados.

comentem…

Click nas dicas abaixo.
Apostilas gratis

Livros Gratis

Tutorias Gratis

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: