Vemos um movimento de SUBSTITUIÇÃO generalizado do meio de autenticação mais conhecido, o bom é velho LOGIN/SENHA, pela biometria.
“Biometria é legal”
“Biometria agiliza a entrada no prédio”
“Biometria deixa o ponto eletrônico mais ágil”
Sim… Biometria pode (e faz) tudo isto; Mas estamos usando-a corretamente?
Quando comecei na área, lá pelos idos de 1985(!), biometria era era algo distante. Nossa maior referência foi o Orange Book (conhecido oficialmente como “Trusted Computer Evaluation Criteria – DoD 5200.28-STD”), lançado pelo DoD em Agosto de 1983 (download neste link: //bit.ly/33k898B). Em 1991, foi lançado o Light Blue Book (conhecido também oficialmente como “Identification and Authentication in Trusted Systems – NCSC-TG-017” – download //bit.ly/3aVEtl6), em que cita, pela primeira vez, o tripé da autenticação:
– TIPO1: aquilo que o usuário conhece (senha, frase de segurança, PIN)
– TIPO2: aquilo que o usuário tem (cartão de identificação, security token, software token ou telefone celular)
– TIPO3: aquilo que o usuário é (impressão digital, padrão retinal, sequência de DNA, padrão de voz, reconhecimento de assinatura, sinais elétricos unicamente identificáveis produzidos por um corpo vivo, ou qualquer outro meio biométrico).
Conceitualmente, estes 3 tipos foram criados para atuar EM CONJUNTO (recomendo fortemente a leitura do Light Blue Book).
Vemos a aplicação do conceito na Autenticação de 2 Fatores (2FA) e na Autenticação de Multiplos Fatores (MFA). A MFA é a aplicação do conceito acima: Ela se baseia em conhecimento (algo que você sabe), posse (um cartão) e em herança (o que você é).
Na série de TV FBI você consegue ver em alguns episódios o uso deste conceito, da segurança em camadas:
– Para entrar no prédio é usado o bom e velho cartão de acesso no crachá
– Para usar o seu desktop, você precisa do login/senha e do crachá – há um leitor onde você precisa colocar o crachá durante o período de uso. Ao remover o crachá, o computador trava a tela (lock screen).
– Para entrar na sala de evidências ou no CPD, você precisa do crachá e da Biometria.
A biometria é o nível mais alto de identificação e deveria ser usado onde realmente é necessário. Você não consegue trocar a sua digital cadastrada, pois ela é única e identifica somente você (a não ser que você vá em cirurgião plástico e remova a sua digital substituindo por outra de uma pessoa morta).
Ao cadastrar sua Biometria para controle de acesso em um prédio ou um condomínio, você está entregando a única coisa que você não tem como trocar, como uma senha ou cartão de acesso. A biometria é única: É somente sua e identifica somente você! Em caso de violação de dados, esta é a informação mais perigosa de todas: Se vazar, não tem volta.
Por isto, pense antes de cadastrar a sua biometria “a torto e direito” em qualquer lugar. Para o pessoal de segurança, parem de colocar a BIOMETRIA como solução para todos os males de controle de acesso (leiam o NCSC-TG-017); Em tempos de LGPD e GPDR, isto irá custar muito caro – e literalmente!
PS: Para quem quer conhecer a série de livros de segurança do DoD, o link é //csrc.nist.gov/publications/detail/white-paper/1985/12/26/dod-rainbow-series/final. A versão mais completa, com todos, está em //fas.org/irp/nsa/rainbow.htm