Não gostamos de palavras-passe. Queremos aceder a mais serviços em linha ou móveis sem ter de utilizar combinações de letras, caracteres e números. As palavras-passe são inconvenientes e mais perigosas do que outras opções de autenticação atualmente disponíveis, porque podem ser adivinhadas, roubadas ou decifradas. Por essa razão, temos vindo a analisar os desenvolvimentos na autenticação biométrica como um fator de autenticação mais robusto e seguro.

Um relatório da Gartner de outubro de 2019,“Technology Insight for Biometric Authentication“, afirma que a autenticação biométrica é geralmente adotada para “…conseguir uma autenticação sem palavra-passe, melhorando assim a UX/CX (experiência do utilizador/experiência do cliente) e potencialmente melhorando a confiança e a responsabilidade”. Isto parece ser um sucesso garantido e uma grande vantagem para as organizações de serviços financeiros quando competem por clientes.

O relatório da Gartner chama aos serviços bancários móveis a “killer app”.
Aplicação decisiva
” (ou seja, que em breve será indispensável em casos de utilização de serviços bancários móveis) para a autenticação biométrica. Acreditamos que chegou o momento de as instituições financeiras adoptarem a autenticação biométrica para casos de utilização de serviços bancários móveis, a fim de aumentar a confiança e a responsabilidade e melhorar a experiência do cliente, componentes essenciais para aumentar as receitas das instituições financeiras.

Os consumidores estão preparados para a biometria no comércio e na banca?

Um inquérito recente da Visa a 1000 consumidores norte-americanos, por exemplo, diz que sim. A maioria dos inquiridos preferiu a autenticação biométrica à autenticação por palavra-passe:

  • Os inquiridos afirmaram que a biometria é mais fácil (70%) e mais rápida (61%) do que as palavras-passe.
  • 52% afirmaram que mudariam de banco se este não oferecesse a autenticação biométrica no futuro.
  • Os benefícios da autenticação biométrica mais citados pelos inquiridos foram
    • Não ter de se lembrar de várias palavras-passe / PIN (50%)
    • Melhor segurança do que as palavras-passe / PIN (46%)
    • Não esquecer/perder um método de autenticação (33%)

Ao medir a qualidade da experiência do cliente, as taxas de abandono de transacções são uma métrica importante. Quase 50% dos inquiridos da Visa confirmaram ter abandonado uma compra em linha por não se lembrarem da sua palavra-passe.

“Os benefícios em CX (
Experiência do cliente
) da autenticação biométrica conduziram a um aumento das aplicações bancárias móveis nos últimos anos”, afirma o relatório da Gartner. Ao avaliarem as soluções de autenticação biométrica, as instituições financeiras devem ter em conta as diferenças entre os métodos de autenticação biométrica nativos do dispositivo e os de terceiros. Uma vantagem dos métodos biométricos de terceiros, que consistem na incorporação de um SDK numa aplicação móvel (como a oferecida pela OneSpan), é que os bancos podem servir mais clientes. Nem todos os utilizadores têm dispositivos que incluem hardware e software nativos para dispositivos biométricos. No entanto, quase todos os dispositivos móveis incluem uma câmara, que pode ser utilizada para captar o rosto de um utilizador para autenticação biométrica.

A autenticação biométrica é mais fiável do que outros métodos de autenticação?

É possível que sim, a autenticação biométrica é de facto mais segura do que outros métodos de autenticação. A chave para um sistema de autenticação biométrica fiável é a capacidade de detetar ou impedir a falsificação da caraterística biométrica de uma pessoa viva. Uma impressão digital, “impressão facial” ou qualquer outra modalidade biométrica escolhida não é apenas mais uma forma de palavra-passe ou token.
ficha
.

Sem uma análise adicional, não há realmente forma de saber quem está a fornecer uma palavra-passe. Sabe-se apenas que a palavra-passe foi introduzida e que corresponde à palavra-passe registada na base de dados. Por outro lado, um sistema de autenticação biométrica fiável com deteção eficaz da vivacidade e atenuação da falsificação fornece um indicador adicional de confiança, uma vez que valida o sujeito/pessoa que oferece a amostra biométrica para verificação. Porque a impressão digital, o rosto ou o [inserte aquí su modalidad biométrica favorita] são apresentados em direto e estão relacionados com o utilizador em pessoa.

Dissipar uma ideia errada sobre a autenticação biométrica

De acordo com a Gartner, “a autenticação biométrica não pode e não se baseia no sigilo dos traços biométricos, mas na dificuldade de se fazer passar pela pessoa viva que apresenta o traço num dispositivo de captura (sensor). Este último ponto não é muito conhecido, o que leva a alguns equívocos comuns, reforçada pela deteção dos ataques de apresentação rara (PAD ou deteção de ataques de apresentação) detectados em dispositivos de consumo e publicidade sobre ataques contra o Touch ID da Apple, sensores de passagem da Samsung, reconhecimento facial do Android, etc.”.

Provavelmente já ouviu a crítica de que “não pode alterar a sua impressão digital ou o seu rosto se alguma vez forem comprometidos”. É isso mesmo: não é possível alterar os seus traços biométricos como se fosse uma palavra-passe. No entanto, a ideia de que, se um cibercriminoso roubar os seus dados biométricos, passará com êxito o desafio de autenticação correspondente no ponto de captura biométrica é errada.

  1. Não se pode literalmente roubar a cara/impressão digital/etc. de alguém.
    1
    – Para além dos filmes de terror, na realidade, os cibercriminosos geralmente não procuram remover (ou seja, “roubar”) o rosto ou a impressão digital de alguém do seu corpo. Os sistemas biométricos bem concebidos não “armazenam” literalmente o rosto ou a impressão digital de um utilizador. Em vez disso, armazenam uma representação matemática da amostra biométrica registada no sistema (designada por modelo). A representação matemática, por si só, não tem valor no ponto de captura (ver ponto número um destacado na imagem abaixo).

  1. A apresentação em direto do elemento biométrico está no centro da – Como argumenta o relatório da Gartner, “num método robusto de recolha de impressões digitais, não deve ser importante que um atacante possa apresentar uma cópia exacta da impressão digital de uma pessoa; tudo o que não seja o dedo real da pessoa (ainda ligado ao seu corpo vivo) não deve funcionar”. Um ataque de apresentação consiste em um inimigo apresentar uma reprodução de uma caraterística biométrica (uma “imitação”) que se assemelha a uma referência armazenada de um utilizador legítimo (por exemplo, modelos impressos em 3D, máscaras, imagens, vídeo, etc.). A deteção de vida identifica se o traço biométrico apresentado é de um ser humano vivo ou é uma representação digital ou fabricada (ou, mais uma vez, uma imitação). A deteção de ataques à apresentação (PAD) é uma combinação de mecanismos de deteção de contrafação e de deteção de vivacidade. Nalguns casos, o sistema de identificação pessoal nativo dos consumidores pode ter de ser complementado por sistemas biométricos de terceiros. A norma ISO/IEC 30107 estabelece uma metodologia que permite medir a eficácia de uma solução biométrica no sistema de identificação pessoal.

É claro que a ligação de ponta a ponta de ponta a ponta de um sistema de autenticação biométrica não se limita aos ataques de apresentação ao sensor onde os dados biométricos são captados. Os ataques de repetição são um exemplo de outro risco, mas, em muitos casos, a tecnologia que garante a integridade da aplicação, como a proteção na aplicação e a blindagem da aplicação/RASP, ajuda a mitigar estes riscos. No entanto, as instituições financeiras devem ter cuidado na conceção, implementação, implantação e configuração da solução de autenticação biométrica.