Todos os dias, milhões de equipamentos enfrentam e tentam decifrar o mesmo problema: verificar se somos quem afirmamos ser. A ferramenta mais utilizada para isso é a senha. Porém, este é um método muito suscetível a roubos ou esquecimentos. Devido aos problemas que surgem com essas chaves de acesso, desenvolver outros sistemas para verificar a identidade dos usuários se tornou uma necessidade básica.
Uma destas vias alternativas é a verificação biométrica, que pode utilizar as nossas impressões digitais ou a nossa voz, e sobre a qual se tem falado muito nas últimas semanas depois do incidente da Apple com seu sistema de segurança biométrico Touch ID. De acordo com os analistas da Kaspersky Lab, existe um grande problema: as técnicas biométricas bem desenvolvidas precisam de ferramentas muito complexas e têm um custo muito elevado.
A maior diferença entre um sistema comum de senhas e um sistema biométrico é que a amostra original e a amostra a verificar nunca coincidem na perfeição. Não se pode obter duas impressões digitais totalmente idênticas do mesmo dedo e a situação piora se usarmos o rosto humano. Os traços faciais dependem da luz, da hora do dia, da presença ou ausência de maquiagem e, evidentemente, da idade. A voz, por sua vez, também é afetada por múltiplos fatores, como por exemplo uma simples constipação. Tendo em conta estas condições, é realmente difícil desenvolver um sistema que garanta 100% de identificação e negue, por sua vez, o acesso aos estranhos.
Para resolver o problema, os sistemas biométricos tentam limpar as amostras digitalizadas de qualquer elemento que interfira no processo de verificação, utilizando só as características facilmente reconhecíveis. No entanto, este modelo deve coincidir com o original de acordo com parâmetros matemáticos.
Para um sistema de segurança médio, é normal uma margem de erro de um acesso indevido por cada 10 mil tentativas de acesso e o bloqueio de um usuário legítimo por cada 50 casos. Quando falamos de plataformas móveis, em meios externos instáveis, a luz e a vibração aumentam a margem de erro e, por este motivo, o reconhecimento facial do Android, por exemplo, falha em 30 ou 40% dos casos. Sabemos de incidentes no Brasil onde a autenticação através de digitais foram burladas com sucesso usando simples dedos de silicone.
Uma senha para toda a vida
Se esquecermos ou nos for roubada uma senha podemos sempre mudá-la. Se perdermos as chaves de casa, podemos mudar a fechadura. Mas o que podemos fazer se a nossa conta bancária utilizar a palma da mão como chave de acesso e alguém roubar a base de dados que contém estas impressões?
As impressões digitais não podem ser mudadas. No entanto, este problema pode ser resolvido, parcialmente. A má notícia é que os sistemas biométricos utilizam modelos que podem ser reconstruídos para imitar a amostra original.
Estes mecanismos têm alguns problemas de privacidade. As "senhas" biométricas identificam o usuário como o proprietário legítimo, tornando impossível que a mesma pessoa tenha duas contas diferentes na mesma plataforma online. Além disso, ainda que cada indivíduo tenha milhares de traços indistinguíveis, graças à ajuda do Geo-IP e de outros meta-dados, é possível criar um perfil de usuário único para cada pessoa. Se alguém conseguir implementar este sistema em cada serviço web, então será muito fácil rastrear a atividade online dos usuários.
Biometria na vida real
Deixando de lado os filmes de ficção científica e a investigação militar, para a Kaspersky Lab existem dois casos em que nos deparamos com sistemas biométricos na vida real. Algumas entidades bancárias utilizam digitalizadores que analisam as palmas das mãos em caixas automáticos (ATM) ou a voz nos serviços móveis. Outro exemplo verídico são os leitores instalados nos dispositivos eletrônicos como computadores ou smartphones. A câmara frontal pode ser usada para a verificação facial, um sensor pode reconhecer as impressões digitais ou inclusive podem-se utilizar os altofalantes para o reconhecimento de voz.
Os sistemas de reconhecimento facial nem sempre conseguem distinguir um rosto real de uma foto. Por outro lado, quando usamos um mecanismo com estas características no nosso dispositivo móvel, este é realmente exigente com as condições de luminosidade e com o ambiente em geral, de modo que não será necessário configurar sistemas adicionais.
A maioria de programadores de sistemas de verificação de voz afirma que estes são capazes de detectar vozes falsas, gravações, etc. Na verdade, alguns investigadores afirmam que um software de alteração de voz pode enganar estes sistemas em 17% dos casos. Além disso, os ataques man-in-the-middle são especialmente perigosos para os sistemas de voz, porque é mais fácil obter uma amostra desse recurso do que de outra parte do corpo.
Tanto os problemas práticos como os riscos em segurança têm impedido que os sistemas de verificação biométricos substituam massivamente as senhas tradicionais ou os tokens eletrônicos. Uma verificação de identidade biométrica, hoje em dia, só é possível em certas condições muito controladas como os serviços alfandegários nos aeroportos, não funcionando com qualidade garantida em outras condições, como através de smartphones por exemplo.
