Biometria comportamental, na mira dos bancos
25 de janeiro de 2018Biometria comportamental: como você é!
Ao capturar a forma como o usuário usa seu dispositivo móvel por um período de tempo, os algoritmos podem definir um tipo de “rastro”
Por Giovanni Verhaeghe*
Com os aplicativos para mobile banking se tornando triviais, os criminosos da internet passaram a ter um crescente interesse em comprometer os dispositivos móveis.
Sofisticados métodos de ataque tornaram obsoleto o clássico esquema de proteção “usuário e senha”. Mesmo o mais seguro duplo fator de autenticação parece ser insuficiente uma vez que os hackers encontram maneiras de fazer com que os usuários digitem seus códigos de acesso em interfaces falsas.
O maior desafio sempre é encontrar um esquema de segurança que seja dinâmico o suficiente para impedir que os hackers façam seu trabalho sem comprometer a praticidade de uso. Dispositivos móveis são especialmente vulneráveis na medida em que os usuários tendem a se preocupar menos com a segurança do que quando usam seus computadores ou laptops.
Novas camadas de segurança são constantemente comprometidas por vírus e pela própria fraqueza dos dispositivos móveis e de seus sistemas operacionais. Os criminosos na internet estão constantemente trabalhando para encontrar novas maneiras de explorá-las. Cada sucesso significa que os desenvolvedores precisam melhorar as camadas de segurança já existentes ou adicionar uma nova que contribua para uma maior complexidade.
Por essas razões, as instituições financeiras têm corretamente adicionado de forma discreta maior segurança em seus aplicativos para não interferir com a facilidade de uso. Por exemplo: ao levar em conta o horário e o lugar em que os usuários acessam seus aplicativos bancários móveis eles podem detectar rapidamente tentativas potencialmente fraudulentas de ataque.
Se alguém tenta fazer uma transação expressiva no meio da noite do outro lado do mundo, algo normalmente não está certo. Bloquear essa operação até haver uma verificação adicional é o melhor a ser feito.
Porém, eles podem também agregar mais elementos comportamentais à combinação tempo e lugar. Os exemplos incluem a pressão dos dedos quando o usuário toca a tela de um smartphone ou a velocidade de digitação. Se algo está desligado pode ser que o dispositivo tenha sido roubado ou que o usuário pode, sem saber, estar usando uma interface falsa colocada pelos criminosos ao invés do real aplicativo de seu banco.
Essa modalidade de segurança tem se tonado conhecida como biometria comportamental. Ao capturar a forma como o usuário tipicamente emprega seu aparelho por um período de tempo, os algoritmos da biometria comportamental podem definir um tipo de “rastro”. Se as ações do usuário correspondem a esse “rastro” então há uma alta probabilidade de que as ações sejam legítimas, não havendo a necessidade de interferir e comprometer a experiência do usuário. Entretanto, uma súbita mudança no comportamento pode indicar que algo errado está ocorrendo. O banco pode então parar a operação e requisitar uma verificação adicional.
Como a biometria comportamental é uma forma discreta de verificar as transações, o peso da segurança é tirado do usuário, que normalmente não percebe a camada a não ser que seja feita a demanda por uma ação adicional. Isso significa que o tempo despendido para autenticar um usuário é minimizado e ele pode passar mais tempo usando a aplicação. Em resumo, a sessão é segura ao nível em que os usuários esperam.
A biometria comportamental reduz a fraude ao mesmo tempo em que minimiza a ocorrência de falsos positivos.
Ela também não invade a privacidade dos clientes como a biometria tradicional empregando base de dados de impressões digitais, escaneamento de íris ou reconhecimento por voz. O padrão comportamental de um usuário é armazenado em uma equação matemática que é inútil para os criminosos sempre à procura de dados pessoais.
A biometria comportamental oferece segurança de transação para transação.
Não é apenas garantir um caminho seguro, tornando muito difícil para os criminosos atravessá-la pois não há uma fraqueza única que possa ser explorada.
Ao mesmo tempo, o usuário não tem que carregar o peso do desconforto que as camadas adicionais de segurança trazem com elas.
Giovanni Verhaeghe é diretor de mercado e estratégia de produto da Vasco Data Security