Kaspersky Lab alerta para os problemas nos sistemas de verificação biométricos

11 out 2013
Notícias de Vírus

  • Quando falamos de plataformas móveis, em meios externos instáveis, a luz e a vibração aumentam a margem de erro e, por este motivo, o reconhecimento facial do Android, por exemplo, falha em 30 ou 40% dos casos

  • Os sistemas biométricos utilizam modelos que podem ser reconstruídos para imitar a amostra original


Todos os dias, milhões de equipamentos enfrentam e resolvem o mesmo problema: verificar se somos quem afirmamos ser. A ferramenta mais utilizada para o fazer é a password. Não obstante, este é um método muito susceptível a roubos ou esquecimentos. Devido aos problemas surgidos com as chaves de acesso, tornou-se imprescindível desenvolver outros sistemas para verificar a identidade dos utilizadores.

 
Uma destas vias alternativas é a verificação biométrica, que pode utilizar as nossas impressões digitais ou a nossa voz, e sobre a qual se tem falado muito nas últimas semanas depois do incidente da Apple com seu sistema de segurança biométrico Touch ID. De acordo com os analistas da Kaspersky Lab, existe um grande problema: as técnicas biométricas bem desenvolvidas precisam de ferramentas muito complexas e têm um custo muito elevado.

 

Perigo! Estranhos à vista


A maior diferença entre um sistema ordinário de passwords e um sistema biométrico é que a amostra original e a amostra a verificar nunca coincidem na perfeição. Não se podem obter duas impressões digitais totalmente idênticas do mesmo dedo e a situação piora se usarmos o rosto humano. Os traços faciais dependem da luz, da hora do dia, da presença ou ausência de maquilhagem e, evidentemente, da idade. A voz, por sua vez, também é afectada por múltiplos factores, como por exemplo uma simples constipação. Tendo em conta estas condições, é realmente difícil desenvolver um sistema que permita o acesso indiscutível ao legítimo utilizador, negando-o, por sua vez, aos estranhos.


Para resolver o problema, os sistemas biométricos tentam limpar as amostras digitalizadas de qualquer elemento que interfira no processo de verificação, utilizando só as características facilmente reconhecíveis. No entanto, este modelo deve coincidir com o original de acordo com parâmetros matemáticos. Para um sistema de segurança médio, assume-se como normal uma margem de erro de um acesso indevido por cada 10.000 tentativas de acesso e o bloqueio de um utilizador legítimo por cada 50 casos. Quando falamos de plataformas móveis, em meios externos instáveis, a luz e a vibração aumentam a margem de erro e, por este motivo, o reconhecimento facial do Android, por exemplo, falha em 30 ou 40% dos casos.

 

Uma password para toda a vida


Se nos esquecermos ou nos for roubada uma password podemos sempre mudá-la. Se perdermos as chaves de casa, podemos mudar a fechadura. Mas o que podemos fazer se a nossa conta bancária utilizar a palma da mão como chave de acesso e alguém roubar a base de dados que contém estas impressões?


As impressões digitais não podem ser mudadas. No entanto, este problema pode ser resolvido, parcialmente, com as restantes impressões digitais. A má notícia é que os sistemas biométricos utilizam modelos que podem ser reconstruídos para imitar a amostra original.

 
Estes mecanismos têm alguns problemas de privacidade. As “senhas” biométricas identificam o utilizador como o proprietário legítimo, tornando impossível que a mesma pessoa tenha duas contas diferentes na mesma plataforma online. Além disso, ainda que cada indivíduo tenha milhares de traços indistinguíveis, graças à ajuda do Geo-IP e de outros meta-dados, é possível criar um perfil de utilizador único para cada pessoa. Se alguém conseguir implementar este sistema em cada serviço web, então será muito fácil rastrear a actividade online dos utilizadores.

 

Biometria na vida real


Deixando de lado os filmes de ficção científica e a investigação militar, para a Kaspersky Lab existem dois casos em que nos deparamos com sistemas biométricos na vida real. Algumas entidades bancárias estão a realizar provas com digitalizadores que analisam as palmas das mãos em caixas automáticos (ATM) ou a voz nos serviços móveis. Outro exemplo verídico são os leitores instalados nos dispositivos electrónicos como computadores ou smartphones. A câmara frontal pode ser usada para a verificação facial, um sensor pode reconhecer as impressões digitais ou inclusive podem-se utilizar os altifalantes para o reconhecimento de voz.

 
Os sistemas de reconhecimento facial nem sempre conseguem distinguir um rosto real de uma foto. Por outro lado, quando usamos um mecanismo destas características no nosso dispositivo móvel, este é realmente exigente com as condições de luminosidade e com o meio envolvente em general, de modo que não será necessário configurar sistemas adicionais.

 
A maioria de programadores de sistemas de verificação de voz afirma que estes são capazes de detectar vozes falsas, gravações, etc. Na verdade, alguns investigadores afirmam que um software de alteração de voz pode enganar estes sistemas em 17% dos casos. Além disso, os ataques man-in-the-middle são especialmente perigosos para os sistemas de voz, porque é mais fácil obter uma amostra de voz que de outra parte do corpo.


Tanto os problemas práticos como os riscos em segurança têm impedido que os sistemas de verificação biométricos substituam massivamente as passwords tradicionais ou os tokens electrónicos. Uma verificação de identidade biométrica, hoje em dia, só é possível em certas condições muito controladas como os serviços alfandegários nos aeroportos ou os postos de controlo de um edifício, não funcionando com qualidade garantida noutras condições, como através de smartphones por exemplo.


 

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.