A identidade digital e a biometria devem acabar com a tirania das senhas

Com o aumento significativo do volume de transações digitais, a identificação digital passou a ser peça-chave para garantir a segurança, a confiança e a validade jurídica das transações. O Gartner acredita que, em 2024, um padrão de identidade global, portátil e descentralizado surgirá no mercado para tratar de casos de uso de negócios, pessoais, sociais e de identidade invisível.

Até lá, três movimentos vêm ganhando força:

• A eliminação do uso das senhas de acesso;
• A criação e adoção de identificações digitais nacionais;
• O uso crescente da autenticação biométrica, via impressão digital e identificação facial.

Hoje, a autenticação baseada em senha está entre os mecanismos mais utilizados para controle de acesso. Mas senhas podem ser adivinhadas, compartilhadas ou roubadas a partir uma ampla variedade de ataques, não fornecendo segurança adequada para sistemas sensíveis e informações confidenciais. A meta das empresas é ficar à frente do roubo de identidade. E uma das primeiras etapas para as empresas em sua jornada de segurança cibernética é dar um passo em direção à autenticação passwordless (sem senha).

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

A autenticação biométrica vem se consolidando como uma das formas mais pesquisadas hoje para acabar com a tirania das senhas e reduzir a fricção no acesso às aplicações digitais. Mas ela também tem seus problemas. Muitos especialistas argumentam que para integrar dados biométricos em nossas vidas, de maneira inteligente, é preciso garantir que eles jamais saiam do dispositivo em uso. Em outras palavras, jamais sejam armazenados em qualquer outro lugar que não o próprio dispositivo.

Mas como resolver este problema respeitando a privacidade, se todo mecanismo de autenticação tem a finalidade de verificar a identidade do usuário? A resposta está nas técnicas de criptografia, incluindo a anonimização das informações, em conjunto com o uso de biometria e da autenticação comportamental, que avalia o comportamento do usuário ao utilizar o dispositivo (a velocidade com que digita; se usa dois dedos ou mais; a pressão que faz sobre a tela; localização, etc). A criptografia garante a autenticidade do dispositivo, e a biometria garante que é o usuário certo que está usando o dispositivo!

Criptografia e anonimização de dados também deveriam estar  entre as salvaguardas técnicas e legais para garantir a privacidade e a segurança das identidades nacionais digitais, como as dos modelos propostos pelo Banco Mundial (ID4D) e pela Comissão Europeia (EUid). Porém, ainda há muitas dúvidas sobre se as nações serão capazes de guardar e usar os dados de seus cidadãos com o zelo que a privacidade impõe.

Em teoria, há vantagens inegáveis em uma identidade digital centrada no ser humano. Ela permitiria às empresas e aos governos saberem exatamente com quem estariam lidando, de forma inequívoca, sem revelar mais do que as informações estritamente necessárias para determinada finalidade. E daria aos usuários o controle de seus dados. Afinal de contas, da mesma forma que governos e empresas desejam ter a garantia da identidade do usuário e do não repúdio para reduzir as fraudes, o usuário deseja ter seus dados e sua privacidade respeitados.

Um dos grandes desafios da identidade digital nacional é que ela precisa ser única e amplamente aceita. A GSMA acaba de publicar um relatório sobre o papel das telecomunicações nos ecossistemas de identidade digital, com estudos de caso do Benin, Gana, Quênia e Uganda. O relatório, sem surpresa, descobriu que parcerias entre a indústria e os reguladores poderiam beneficiar tanto os sistemas nacionais de identificação digital em geral.

O Brasil segue a onda

A identidade digital nacional caminha a passos lentos, mas constantes. A ideia do governo é usar biometria para identificar o cidadão. Para isso está sendo criada uma plataforma que, inicialmente, terá todos os documentos atuais digitalizados e um barramento tecnológico que permitirá a identificação do cidadão por meio de uma base de dados biométrica unívoca. A ideia é fortalecer o sistema de identificação do Brasil e a identidade do brasileiro.

Conectada à plataforma de serviços do governo ela vai permitir, por exemplo, que as pessoas possam ter um prontuário médico único. Ou que os contribuintes possam receber uma versão previamente preenchida da declaração do Imposto de Renda, algo que atualmente só é acessível a quem possui certificado digital. Mas ela também deverá facilitar a identificação dos brasileiros por empresas que firmarem parcerias com o governo para o seu uso. Os bancos foram os primeiros.

O governo também trabalha com o barateamento e simplificação de emissão e uso de assinaturas eletrônicas e certificados digitais no âmbito da ICP-Brasil. Até o ano passado, a emissão de Certificado Digital exigia validação presencial. Havia todo um rito muito rigoroso e burocrático também. Agora, a videoconferência e coleta e verificação biométrica permitem a emissão 100% remota do certificado. E, desde o mês passado, a verificação biométrica do requerente pode ser realizada através da comparação de apenas uma das biometrias utilizadas – como digitais dos dedos ou reconhecimento facial – com bases de dados biométricos públicas como as do Denatran, gerida pelo Serpro, e do Tribunal Superior Eleitoral.

Já no caso da assinatura eletrônica, a Lei 14.063 foi fundamental. Ela define três níveis de assinatura: a simples, muito utilizada para contratos do dia a dia, nos quais a identificação é feita por metadados; a avançada, que requer a identificação inequívoca do usuário e a utilização de certificados não emitidos pela ICP-Brasil, outro meio de comprovação da autoria e da integridade de documentos; e a qualificada, que utiliza certificado digital ICP-Brasil e é obrigatória, por exemplo, para a emissões de notas fiscais eletrônicas, atos de transferência e de registro de bens imóveis, receituários médicos, etc. As Juntas Comerciais hoje só estão aceitando assinatura qualificada com o ICP Brasil, por exemplo.

A iniciativa privada vem trabalhando para atender  a essas mudanças. Empresas como a Soluti e a Certisign são algumas que já oferecem a emissão remota dos certificados digitais e as assinaturas eletrônicas qualificadas. “O grande desafio, para a popularização do uso, é a comunicação de tudo isso. De quando basta uma assinatura simples, de quando será exigida uma qualificada, as diferenças de custo, de grau de segurança jurídica, facilidade de uso e por aí vai”, comenta Julio Mendes, Diretor Comercial da Soluti.

Passwordless e biometria comportamental

Muitas empresas brasileiras vêm se dedicando à oferta de sistemas de autenticação biométricos para validação de identidade, de forma cada vez mais robusta, sem atrito para os usuários. Entre elas, a Incognia, que usa biometria comportamental por localização para reconhecer usuários confiáveis, a Saffepass, que usa biometria para autenticação passwordless, e a Unico (ex Acesso  Digital), que também oferece assinatura simples e verificação remota de identidade por reconhecimento facial.

Na opinião de André Ferraz, CEO da Incognia, um dos sinais mais fortes que pode haver para identificar a real identidade de um usuário é seu comportamento, e especificamente no mobile, o comportamento de localização.

“O comportamento de localização é uma informação em constante mudança, portanto é praticamente impossível de falsificar ou imitar”, diz ele.

Nos próximos três anos, André acredita que o uso da biometria comportamental usando a localização cresça muito em três mercados: serviços financeiros, e-commerce e serviços  (delivery de comida, transporte pessoal, etc). No longo prazo, ele vê muitas oportunidades no segmento de Internet das Coisas (IoT).

“Para você conseguir destravar o carro, abrir a porta da casa, usar todo o tipo de objeto conectado à internet, será preciso resolver bem o dilema de oferta de conveniência, com privacidade e segurança”, diz ele.

A ideia é proteger a privacidade do usuário, de modo a não revelar nenhuma informação de identificação pessoal para esse objeto com o qual ele estará interagindo, sem abrir mão da segurança. O objeto precisa saber quem é aquela pessoa, sem ter nenhum dado capaz revelar a sua identidade civil.

Na opinião de Ferraz, o uso de biometria, de modo geral, é estático. “Uma vez comprometida a base, já era. A gente tem que torcer sempre para que esses dados estejam bem guardados, porque é o tipo de coisa que quando dá errado é irreversível”. Mas reconhece que muitas das soluções de identificação e autenticação são complementares. Para algumas aplicações, o dado estático como o CPF, se fez necessário. E se ele for vinculado à uma biometria, fica mais forte. “Então, complementar dados estáticos com dados dinâmicos torna os processos bem mais seguros”, explica.

Nos últimos meses, a Incognia aadicionou novas camadas à sua solução de localização comportamental. Em especial informações dos dispositivos, como sistema operacional, fabricante, modelo, idade do dispositivo, etc. E o próximo passo é acrescentar uma cada de inteligência sobre as transações. “Se uma informação  foi fraudulente, a gente a estuda para poder inserir no nosso sistema algumas variáveis de risco transacional”.

Por enquanto, não está nos planos da empresa a utilização de outros fatores de biometria comportamental. “Vários deles serem muito intensivos em treinamento de Machine Learning para calibragem de padrões. Acabam sendo soluções muito morosas na geração dos resultados esperados”, explica André.

No início o sistema da Incognia vinha sendo utilizado pelo setor financeiro em transações como abertura de contas e pagamentos. Agora, alguns clientes já estão utilizando para login de acesso. “Nos próximos dias, um banco digital brasileiro vai anunciar a possibilidade de tirar a senha do processo. Eles não vão solicitar se o nosso sistema não indicar que pode haver aalgum risco”, revela André.

Já a startup Saffepass trabalha com uma solução baseada em biometria e em um app no celular. Uma forma fácil de resolver problmeas como compartilhamento indevido de senhas, ataques de phishing, etc.  E de garantir a privacidade.

Na prática, o sistema usa a criptografia do celular e a autenticação dinâmica, de forma bastante semelhante ao oferecido pela empresa americana Trusona.

O caminho de todas essas soluções é o de prover uma identidade única, simples de usar, com uma autenticação forte.

Para ir fundo…

•  Passaportes de imunidade e cartões de pagamento serão as aplicações da vez no setor de biometria em 2021.
• Uma das iniciativas mais recentes realizadas pelo Grupo Banco Mundial é a Iniciativa G2Px para permitir pagamentos de governo para pessoa, realizada em parceria com a Fundação Bill e Melinda Gates como uma iniciativa irmã do ID4D. O projeto está fornecendo apoio para 35 países que elaboram e implementam pagamentos de assistência social digital.

• tendências
• transformação digital
• cibersegurança
• Privacidade