Home > Tendências

Novas aventuras da autenticação

Ferramentas baseadas em biometria e processos cognitivos podem revolucionar a forma de acesso a redes corporativas

Network World

13/09/2007 às 17h00

Foto:

Você quer checar sua conta bancária on-line. Então vai ao web site do banco, digita o nome do usuário e a senha e tem de responder a várias perguntas relacionadas ao jantar em família mais memorável da sua vida.

Quem estava lá? Quando anos você tinha? Que tipo de comida foi servida? Se responder corretamente a este conjunto de perguntas, você é autenticado. Em seguida, para demonstrar que você não está em um site falso, o software de autenticação do banco exibe uma informação especial que você pré-selecionou, como “bife à milanesa” ou “torta de maçã da mamãe”. Está achando tudo isso estranho?

De acordo com uma start-up chamada Cogneto, este tipo de autenticação por software é muito mais amigável e eficaz em termos de custos do que métodos de autenticação baseados em hardware. Ao cadastrar-se, o cliente digita informações sobre sua vida via menus dropdown: a viagem, o jantar, a festa ou outro evento favorito. O software Unomi da Cogneto cuida do resto. A partir daí, sempre que o cliente faz o login, o software não só fornece autenticação segura, como também provoca uma boa sensação nos clientes ao pedir-lhes que se lembrem de uma experiência pessoal agradável.

O Unomi é um dos muitos novos métodos biométricos/cognitivos de autenticação que surgiram para ajudar bancos e outras empresas online a lidar com novas regulamentações ou com a necessidade geral de reforçar a segurança online na esteira de tantas violações de dados.

Vigilantes da digitação
Quando a instituição financeira norte-americana Bank of Utah pensou em ir além de nome de usuário e senha, tinha dois critérios principais: a solução precisava integrar-se à infra-estrutura de segurança existente no banco e ser fácil de usar.

O banco escolheu o software da start-up BioPassword, que utiliza “dinâmica de digitação” para reconhecer o estilo de digitação exclusivo do usuário. (Na era do telégrafo, as pessoas podiam ser identificadas pelo modo inconfundível como entravam Código Morse. Na Segunda Guerra Mundial, o exército norte-americano se beneficiou disso para identificar determinados usuários de Código Morse alemães pelos seus estilos.)

No cenário do Bank of Utah, os clientes digitam nome de usuário e senha algumas vezes para criar uma “assinatura”, que é armazenada em um banco de dados. Quando o cliente fizer login outra vez, o sistema vai determinar se o nome de usuário e a senha correspondem a esta “assinatura” de digitação.

“A experiência para o usuário não muda”, diz Kirk Marshall, CISO do Bank of Utah. “O cliente chega na nossa página na web, digita o nome de usuário e a senha, e o software trabalha nos bastidores. Não é preciso olhar para imagens ou responder a perguntas.” 

Fraquezas do primeiro fator
Tanto o método da Cogneto quanto o da BioPassword ainda exigem nome de usuário e senha como primeiro fator em seus esquemas de autenticação de dois fatores. Alguns especialistas em segurança alegam que seu uso continuado é um problema.

Para David O'Connell, analista sênior da Nucleus Research,  “as senhas são inconvenientes e as pessoas são descuidadas com elas. Em uma pesquisa recente que realizamos com usuários corporativos, descobrimos que um terço das pessoas guardam as senhas em algum lugar, seja um post-it ou um arquivo no computador”.

Há muito tempo os hackers sabem que, quando violam um dispositivo, a primeira coisa a procurar é um documento intitulado “Senhas”. Diante do aumento de ataques rootkit (um programa malicioso que camufla outros programas de ataques na máquina) e keylogging, isso se torna um problema, já que outras informações podem ser recolhidas junto com as senhas.

Mas a grande questão para os executivos de TI é se a segurança adicional que se obtém abolindo as senhas compensa os problemas que vão surgir à medida que as pessoas se adaptam a novos comportamentos.

Segundo Jared Pfost, vice-presidente de segurança e estratégia de produto da BioPassword, a carga sobre TI gerada pelo sistema de ritmo de digitação de sua empresa é mínima comparada à adoção de um sistema inteiramente novo. Tokens, biometria, senhas para uso apenas uma vez, tudo isso exige uma mudança de comportamento do usuário. “Qualquer coisa que exija mudança de comportamento da parte do usuário gera mais chamadas”, diz Pfost.

Por outro lado, se você mantém nome de usuário e senha, tem que lidar com todas as chamadas para o help desk de usuários que se esquecem das senhas. A produtividade do usuário e de TI é afetada. A BioPassword permite ao usuário escolher senhas que são simples, fáceis de lembrar e não mudam a cada duas semanas, mas alguns profissionais de TI têm tanta aversão a senhas que prefeririam se livrar delas para sempre.

As senhas estão ultrapassadas?
A ContactWorks, fornecedora de serviços de call-center e contato com o cliente, buscou uma nova forma de autenticação que aliviasse a carga sobre TI.

Jack Pariseau, vice-presidente de vendas e marketing, estima que levava 10 minutos para lidar com cada chamada relacionada a senha. “Isso só para a chamada em si”, observa. “Quando você contabiliza o tempo para retomar o fio do pensamento e voltar ao projeto no qual estava trabalhando, o tempo perdido pode ser de 20 a 30 minutos”, afirma Pariseau.

Em meados do ano passado, a ContactWorks tomou a atitude radical de se livrar de senhas e recorreu à solução de autenticação PassFaces. O PassFaces demanda que os usuários reconheçam uma série de pessoas, identificando rostos conhecidos dentre um grupo de indivíduos aleatórios. Este método de autenticação “explora a capacidade cognitiva inata do cérebro de reconhecer rostos humanos”, explica a empresa.

Embora possa parecer uma maneira estranha de entrar em um sistema, a resposta dos usuários tem sido positiva. “Foi fácil de configurar e simplifica a vida dos nossos funcionários. Eles não precisam se lembrar de senhas ou transportar tokens. Do ponto de vista de TI, ninguém mais faz chamadas relacionadas a problemas de login”, conta Pariseau.

A ContactWorks também se beneficia ao ter que gerenciar uma força de trabalho transitória. “Há muita rotatividade no ramo de call center”, diz. “Além disso, estamos localizados em Austin, uma cidade com muitos profissionais de suporte técnico que mudam de emprego com freqüência.”

Antes, a ContactWorks era obrigada a fazer atualizações constantes. Os funcionários saíam do emprego e levavam com eles senhas da rede e de aplicativos, gerando riscos à segurança. Tendo em vista que o PassFaces permite single sign-on em diversos aplicativos, para desativar uma conta basta que TI remova um nome de usuário com alguns toques de teclas. “Gosto do produto porque ele autentica os usuários”, diz Pariseau. “Não autentica alguma palavra que eles conhecem, e sim o que está em suas cabeças.”

Jogos da mente
Como autenticar alguma coisa que está dentro da cabeça de alguém? Mais parece um golpe de leitura da mente. A diferença é que esta nova forma de biometria, batizada de biometria cognitiva, se baseia na neurociência. O PassFaces, por exemplo, apóia-se no fato de o cérebro humano estar condicionado a reconhecer rostos.

O padrão de reconhecimento do usuário pode identificá-lo com exclusividade, assim como seu ritmo de digitação. As soluções biométricas tradicionais, como o escaneamento da impressão digital ou da íris, há tempos são consideradas o tipo mais seguro de autenticação. É muito mais difícil falsificar “algo que você é” do que “algo que você conhece ou possui” – e você não perde nem precisa anotar nada. Isso não quer dizer que estes sistemas são inexpugnáveis. Falcatruas existem em toda parte, mas a biometria é considerada muito mais segura do que a maioria das formas de autenticação de dois fatores.

++++

Sua desvantagem sempre foi o custo. Scanners de impressão digital estão sendo fornecidos junto com muitos laptops e, sem dúvida, são onipresentes, ao passo que o escaneamento da íris está muito longe de se popularizar. Na realidade, tudo que requer novo hardware, incluindo tokens e smart cards, é desaprovado por departamentos de TI sensíveis a custo. Além disso, as implementações são difíceis e algo pode ser perdido, quebrado ou roubado. A biometria comportamental e cognitiva evita estes problemas. O reconhecimento de rostos não demanda novo hardware.

Você consegue me ouvir agora?
Outra start-up, a Porticus, mede a sua voz. Segundo a empresa, esta abordagem proporciona autenticação de três fatores porque é capaz de medir a voz e as características do microfone que você costuma usar e pede para você dizer uma frase conhecida específica (uma senha vocal). Um atrativo desta espécie de verificação do orador é estar alinhada com a investida para estender as operações bancárias e comerciais online além do desktop, até os dispositivos móveis.

Em comparação à biometria tradicional, estas opções comportamentais, cognitivas e vocais apresentam vantagens evidentes. Em primeiro lugar, o ROI é muito melhor. Cada solução explora a tecnologia existente, sem exigir a compra de hardware adicional. Em segundo lugar, as mudanças comportamentais são mínimas. É tão simples clicar em rostos ou lembranças ou falar ou digitar uma frase, que até o usuário mais tecnofóbico é capaz de se adaptar.

Por fim, cada uma destas soluções pode ser restaurada. Outros meios de autenticação têm uma desvantagem que costuma ser negligenciada: se o banco de dados utilizado para autenticar sua íris for comprometido, o que você pode fazer? Você será reconhecido se tiver um grande corte no dedo?

Com biometria comportamental, vocal e cognitiva, você pode mudar facilmente os rostos a serem reconhecidos, a frase dita para identificar sua voz, a palavra usada para a digitação ou o evento do qual você precisa se lembrar.

A biometria tradicional liga os mundos físico e online
Mas ainda é cedo demais para renunciar à biometria tradicional. De certa forma, o reconhecimento da impressão digital já permeia o mercado e a desvantagem comum desta forma de biometria – o custo – está desaparecendo. O preço dos leitores de impressão digital caiu ao ponto de eles serem disponibilizados com laptops acessíveis, e leitores USB add-on podem ser compradas por apenas 30 dólares nos Estados Unidos.

Outra vantagem da autenticação baseada em impressão digital é ligar os mundos offline e online. A Pay By Touch, fornecedora de autenticação por impressão digital, ganhou seu primeiro impulso no varejo, usando a autenticação de digitais como substituta de cartões de débito, serviços de desconto de cheques e uma maneira de armazenar informação sobre o comprador sem obrigar os consumidores a transportar cartões de fidelidade de lojas.

O serviço de autenticação da Pay By Touch é usado por mais de 10 milhões de consumidores em mais de três mil lojas. A maioria está na Europa, na Ásia e nos Estados Unidos. À medida que os consumidores se sentirem mais à vontade com este serviço como uma ferramenta de compra no mundo físico, a Pay By Touch pretende estendê-lo ao mundo online.

Outra organização que busca interligar a autenticação física e online é a Encentuate, fornecedora de tags RFID que podem ser incorporadas a crachás de identificação ou a outros dispositivos pessoais, como pagers e telefones celulares.

O Stamford Hospital, hospital-escola com mais de 300 leitos e 2,3 funcionários, recorreu às tags RFID da Encentuate para ajudar na conformidade com o Health Insurance Portability and Accountability Act, afixando-as aos crachás de identificação dos funcionários. O hospital investiu em RFID para fins de segurança e queria descobrir uma maneira de alavancar este investimento para fornecer autenticação online.

Os logons em workstations eram incômodos e complexos no hospital, revela James Hodge, diretor de serviços de infra-estrutura e segurança. Os profissionais de serviços de saúde se apoiavam em workstations públicas quando faziam rondas e visitavam pacientes.

Os tempos de espera eram de 20 minutos para não interromper o tratamento dos pacientes. Mas, com freqüência, as pessoas se esqueciam de fazer logoff e, quando outra precisava usar a estação de trabalho, só podia acessar seus próprios dados se reinicializasse a máquina.

Com os crachás, o tempo de espera é curto porque é rápido fazer login. O Stamford também obteve um ROI apreciável. “Baseamos o ROI no menor número de chamados de problema relacionados a solicitações de mudança de senha”, diz Hodge. O Stamford ainda utiliza nomes de usuário e senhas baseados no Windows, mas os tags RFID permitem single sign-on, em vez de obrigar os usuários a terem múltiplas senhas para múltiplos aplicativos. “Costumávamos ter a média de 2,2 mil solicitações de reset por mês. Reduzimos este número imediatamente em 30%.”

Depois da autenticação
Para as instituições que alcançaram conformidade regulatória básica, o próximo desafio de segurança enfoca o que acontece depois da autenticação inicial. “Com muita freqüência, a autenticação determina as políticas”, diz George Tubin, analista sênior de canais de entrega no TowerGroup. “Os monitoramentos baseado em risco e comportamental deverão ser o próximo passo. Eles oferecem boa segurança, não são intrusivos e sua implementação não é terrivelmente cara.”

Pode haver risco no dispositivo que você usa para fazer logon, no local onde você se encontra ou nas atividades que você pretende executar. Se algo parecer fora do normal ou suspeito, um alarme vai soar. Depois disso, talvez seja solicitada autenticação adicional ao usuário, ou as atividades serão limitadas. A detecção de fraude é utilizada por empresas de cartão de crédito há anos, mas não foi amplamente adotada para e-banking e e-commerce

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail