Biometria ou usuário/senha? Os dois!

  • por

Vemos um movimento de SUBSTITUIÇÃO generalizado do meio de autenticação mais conhecido, o bom é velho LOGIN/SENHA, pela biometria.

“Biometria é legal”

“Biometria agiliza a entrada no prédio”

“Biometria deixa o ponto eletrônico mais ágil”

Sim… Biometria pode (e faz) tudo isto; Mas estamos usando-a corretamente?

Quando comecei na área, lá pelos idos de 1985(!), biometria era era algo distante. Nossa maior referência foi o Orange Book (conhecido oficialmente como “Trusted Computer Evaluation Criteria – DoD 5200.28-STD”), lançado pelo DoD em Agosto de 1983 (download neste link: https://bit.ly/33k898B). Em 1991, foi lançado o Light Blue Book (conhecido também oficialmente como “Identification and Authentication in Trusted Systems – NCSC-TG-017” – download https://bit.ly/3aVEtl6), em que cita, pela primeira vez, o tripé da autenticação:

– TIPO1: aquilo que o usuário conhece (senha, frase de segurança, PIN)

– TIPO2: aquilo que o usuário tem (cartão de identificação, security token, software token ou telefone celular)

– TIPO3: aquilo que o usuário é (impressão digital, padrão retinal, sequência de DNA, padrão de voz, reconhecimento de assinatura, sinais elétricos unicamente identificáveis produzidos por um corpo vivo, ou qualquer outro meio biométrico).

Conceitualmente, estes 3 tipos foram criados para atuar EM CONJUNTO (recomendo fortemente a leitura do Light Blue Book).

Vemos a aplicação do conceito na Autenticação de 2 Fatores (2FA) e na Autenticação de Multiplos Fatores (MFA). A MFA é a aplicação do conceito acima: Ela se baseia em conhecimento (algo que você sabe), posse (um cartão) e em herança (o que você é).

Na série de TV FBI você consegue ver em alguns episódios o uso deste conceito, da segurança em camadas:

– Para entrar no prédio é usado o bom e velho cartão de acesso no crachá

– Para usar o seu desktop, você precisa do login/senha e do crachá – há um leitor onde você precisa colocar o crachá durante o período de uso. Ao remover o crachá, o computador trava a tela (lock screen).

– Para entrar na sala de evidências ou no CPD, você precisa do crachá e da Biometria.

A biometria é o nível mais alto de identificação e deveria ser usado onde realmente é necessário. Você não consegue trocar a sua digital cadastrada, pois ela é única e identifica somente você (a não ser que você vá em cirurgião plástico e remova a sua digital substituindo por outra de uma pessoa morta).

Ao cadastrar sua Biometria para controle de acesso em um prédio ou um condomínio, você está entregando a única coisa que você não tem como trocar, como uma senha ou cartão de acesso. A biometria é única: É somente sua e identifica somente você! Em caso de violação de dados, esta é a informação mais perigosa de todas: Se vazar, não tem volta.

Por isto, pense antes de cadastrar a sua biometria “a torto e direito” em qualquer lugar. Para o pessoal de segurança, parem de colocar a BIOMETRIA como solução para todos os males de controle de acesso (leiam o NCSC-TG-017); Em tempos de LGPD e GPDR, isto irá custar muito caro – e literalmente!

PS: Para quem quer conhecer a série de livros de segurança do DoD, o link é https://csrc.nist.gov/publications/detail/white-paper/1985/12/26/dod-rainbow-series/final. A versão mais completa, com todos, está em https://fas.org/irp/nsa/rainbow.htm

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *