Spoiler do título do relatório: “O uso de autenticação forte aumenta devido à ameaça de novos riscos e requisitos regulatórios”.
A empresa de pesquisa "Javelin Strategy & Research" publicou o relatório "The State of Strong Authentication 2019" (). Este relatório diz: qual a percentagem de empresas americanas e europeias que usam senhas (e por que poucas pessoas usam senhas agora); por que o uso da autenticação de dois fatores baseada em tokens criptográficos está crescendo tão rapidamente; Por que os códigos únicos enviados via SMS não são seguros.
Qualquer pessoa interessada no presente, no passado e no futuro da autenticação em empresas e aplicações de consumo é bem-vinda.
Do tradutor
Infelizmente, a linguagem em que este relatório foi escrito é bastante “seca” e formal. E o uso cinco vezes da palavra “autenticação” em uma frase curta não é obra das mãos tortas (ou cérebro) do tradutor, mas do capricho dos autores. Ao traduzir entre duas opções - para dar ao leitor um texto mais próximo do original, ou mais interessante, ora escolhi a primeira, ora a segunda. Mas tenham paciência, queridos leitores, o conteúdo da reportagem vale a pena.
Foram retirados alguns trechos sem importância e desnecessários para a história, caso contrário a maioria não teria conseguido ler todo o texto. Aqueles que desejam ler o relatório “sem cortes” podem fazê-lo no idioma original, seguindo o link.
Infelizmente, os autores nem sempre são cuidadosos com a terminologia. Assim, as senhas de uso único (One Time Password - OTP) às vezes são chamadas de “senhas”, e às vezes de “códigos”. É ainda pior com métodos de autenticação. Nem sempre é fácil para o leitor não treinado adivinhar que “autenticação usando chaves criptográficas” e “autenticação forte” são a mesma coisa. Procurei unificar ao máximo os termos e no próprio relatório há um fragmento com sua descrição.
No entanto, a leitura do relatório é altamente recomendada porque contém resultados de pesquisas exclusivos e conclusões corretas.
Todos os números e fatos são apresentados sem as menores alterações e, se você não concorda com eles, é melhor discutir não com o tradutor, mas com os autores do relatório. E aqui estão meus comentários (dispostos como citações e marcados no texto italiano) são meu julgamento de valor e terei prazer em discutir sobre cada um deles (bem como sobre a qualidade da tradução).
visão global
Hoje em dia, os canais digitais de comunicação com os clientes são mais importantes do que nunca para as empresas. E dentro da empresa, as comunicações entre os funcionários são mais digitalmente orientadas do que nunca. E o quão seguras serão essas interações depende do método escolhido de autenticação do usuário. Os invasores usam autenticação fraca para hackear massivamente contas de usuários. Em resposta, os reguladores estão a reforçar os padrões para forçar as empresas a proteger melhor as contas e os dados dos utilizadores.
As ameaças relacionadas à autenticação vão além dos aplicativos de consumo; os invasores também podem obter acesso a aplicativos executados dentro da empresa. Esta operação permite que eles se façam passar por usuários corporativos. Os invasores que usam pontos de acesso com autenticação fraca podem roubar dados e realizar outras atividades fraudulentas. Felizmente, existem medidas para combater isso. A autenticação forte ajudará a reduzir significativamente o risco de ataque de um invasor, tanto em aplicativos de consumo quanto em sistemas empresariais empresariais.
Este estudo examina: como as empresas implementam a autenticação para proteger aplicações de usuários finais e sistemas de negócios empresariais; fatores que eles consideram ao escolher uma solução de autenticação; o papel que a autenticação forte desempenha nas suas organizações; os benefícios que essas organizações recebem.
Resumo
Principais conclusões
Desde 2017, o uso de autenticação forte aumentou acentuadamente. Com o número crescente de vulnerabilidades que afectam as soluções de autenticação tradicionais, as organizações estão a reforçar as suas capacidades de autenticação com autenticação forte. O número de organizações que usam autenticação criptográfica multifator (MFA) triplicou desde 2017 para aplicações de consumo e aumentou quase 50% para aplicações empresariais. O crescimento mais rápido é observado na autenticação móvel devido à crescente disponibilidade da autenticação biométrica.
Aqui vemos uma ilustração do ditado “até que o trovão soe, um homem não fará o sinal da cruz”. Quando os especialistas alertaram sobre a insegurança das senhas, ninguém teve pressa em implementar a autenticação de dois fatores. Assim que os hackers começaram a roubar senhas, as pessoas começaram a implementar a autenticação de dois fatores.
É verdade que os indivíduos estão implementando o 2FA de forma muito mais ativa. Em primeiro lugar, é mais fácil para eles acalmarem os seus medos confiando na autenticação biométrica incorporada nos smartphones, que na verdade é muito pouco fiável. As organizações precisam gastar dinheiro na compra de tokens e realizar um trabalho (na verdade, muito simples) para implementá-los. E em segundo lugar, apenas pessoas preguiçosas não escreveram sobre vazamentos de senhas de serviços como Facebook e Dropbox, mas sob nenhuma circunstância os CIOs dessas organizações compartilharão histórias sobre como as senhas foram roubadas (e o que aconteceu a seguir) nas organizações.
Aqueles que não usam autenticação forte estão subestimando o risco para seus negócios e clientes. Algumas organizações que atualmente não usam autenticação forte tendem a ver logins e senhas como um dos métodos mais eficazes e fáceis de usar de autenticação de usuário. Outros não veem o valor dos ativos digitais que possuem. Afinal, vale considerar que os cibercriminosos estão interessados em qualquer informação de consumidores e empresas. Dois terços das empresas que utilizam apenas senhas para autenticar seus funcionários o fazem porque acreditam que as senhas são boas o suficiente para o tipo de informação que protegem.
No entanto, as senhas estão a caminho do túmulo. A dependência de senhas caiu significativamente no ano passado para aplicativos de consumo e empresariais (de 44% para 31% e de 56% para 47%, respectivamente) à medida que as organizações aumentam o uso de MFA tradicional e autenticação forte.
Mas se olharmos para a situação como um todo, os métodos de autenticação vulneráveis ainda prevalecem. Para autenticação de usuário, cerca de um quarto das organizações usa SMS OTP (senha de uso único) junto com perguntas de segurança. Como resultado, devem ser implementadas medidas de segurança adicionais para proteger contra a vulnerabilidade, o que aumenta os custos. O uso de métodos de autenticação muito mais seguros, como chaves criptográficas de hardware, é usado com muito menos frequência, em aproximadamente 5% das organizações.
O ambiente regulatório em evolução promete acelerar a adoção de autenticação forte para aplicações de consumo. Com a introdução do PSD2, bem como de novas regras de proteção de dados na UE e em vários estados dos EUA, como a Califórnia, as empresas estão a sentir a pressão. Quase 70% das empresas concordam que enfrentam forte pressão regulatória para fornecer autenticação forte aos seus clientes. Mais de metade das empresas acredita que dentro de alguns anos os seus métodos de autenticação não serão suficientes para cumprir as normas regulamentares.
A diferença nas abordagens dos legisladores russos e americanos-europeus em relação à proteção dos dados pessoais dos usuários de programas e serviços é claramente visível. Os russos dizem: queridos proprietários de serviços, façam o que quiserem e como quiserem, mas se o seu administrador fundir o banco de dados, iremos puni-los. Dizem lá fora: é preciso implementar um conjunto de medidas que não permitirá drene a base. É por isso que os requisitos para autenticação estrita de dois fatores estão sendo implementados lá.
É verdade que está longe de ser verdade que a nossa máquina legislativa um dia não cairá em si e não terá em conta a experiência ocidental. Acontece então que todos precisam implementar o 2FA, que está em conformidade com os padrões criptográficos russos, e com urgência.
O estabelecimento de uma estrutura de autenticação forte permite que as empresas mudem seu foco do atendimento aos requisitos regulatórios para o atendimento às necessidades dos clientes. Para aquelas organizações que ainda utilizam senhas simples ou recebem códigos via SMS, o fator mais importante na escolha de um método de autenticação será o cumprimento dos requisitos regulatórios. Mas as empresas que já utilizam autenticação forte podem se concentrar na escolha dos métodos de autenticação que aumentam a fidelidade do cliente.
Ao escolher um método de autenticação corporativa dentro de uma empresa, os requisitos regulamentares não são mais um fator significativo. Neste caso, a facilidade de integração (32%) e o custo (26%) são muito mais importantes.
Na era do phishing, os invasores podem usar e-mail corporativo para golpes obter acesso fraudulento a dados, contas (com direitos de acesso apropriados) e até mesmo convencer funcionários a fazerem uma transferência de dinheiro para sua conta. Portanto, o e-mail corporativo e as contas do portal devem ser especialmente bem protegidos.
O Google reforçou sua segurança implementando uma autenticação forte. Há mais de dois anos, o Google publicou um relatório sobre a implementação da autenticação de dois fatores baseada em chaves de segurança criptográficas usando o padrão FIDO U2F, relatando resultados impressionantes. Segundo a empresa, nenhum ataque de phishing foi realizado contra mais de 85 mil funcionários.
Recomendações
Implemente autenticação forte para aplicativos móveis e online. A autenticação multifator baseada em chaves criptográficas oferece proteção muito melhor contra hackers do que os métodos tradicionais de MFA. Além disso, o uso de chaves criptográficas é muito mais conveniente porque não há necessidade de usar e transferir informações adicionais – senhas, senhas de uso único ou dados biométricos do dispositivo do usuário para o servidor de autenticação. Além disso, a padronização dos protocolos de autenticação facilita muito a implementação de novos métodos de autenticação à medida que se tornam disponíveis, reduzindo os custos de implementação e protegendo contra esquemas de fraude mais sofisticados.
Prepare-se para o fim das senhas de uso único (OTP). As vulnerabilidades inerentes às OTPs estão se tornando cada vez mais aparentes à medida que os cibercriminosos usam engenharia social, clonagem de smartphones e malware para comprometer esses meios de autenticação. E se os OTPs em alguns casos apresentam certas vantagens, então apenas do ponto de vista da disponibilidade universal para todos os usuários, mas não do ponto de vista da segurança.
É impossível não notar que receber códigos via SMS ou notificações Push, bem como gerar códigos através de programas para smartphones, é a utilização daquelas mesmas senhas de uso único (OTP) para as quais somos solicitados a nos preparar para o declínio. Do ponto de vista técnico, a solução é muito correta, pois raro é o fraudador que não tenta descobrir a senha de uso único de um usuário crédulo. Mas acho que os fabricantes de tais sistemas se apegarão até o fim à tecnologia moribunda.
Use autenticação forte como ferramenta de marketing para aumentar a confiança do cliente. A autenticação forte pode fazer mais do que apenas melhorar a segurança real do seu negócio. Informar aos clientes que sua empresa utiliza autenticação forte pode fortalecer a percepção pública sobre a segurança dessa empresa – um fator importante quando há uma demanda significativa dos clientes por métodos de autenticação fortes.
Conduza um inventário completo e uma avaliação da criticidade dos dados corporativos e proteja-os de acordo com a importância. Mesmo dados de baixo risco, como informações de contato do cliente (não, sério, o relatório diz “baixo risco”, é muito estranho que subestimem a importância desta informação), pode trazer valor significativo para os fraudadores e causar problemas para a empresa.
Use autenticação empresarial forte. Vários sistemas são os alvos mais atraentes para os criminosos. Estes incluem sistemas internos e conectados à Internet, como um programa de contabilidade ou um data warehouse corporativo. A autenticação forte evita que invasores obtenham acesso não autorizado e também possibilita determinar com precisão qual funcionário cometeu a atividade maliciosa.
O que é autenticação forte?
Ao usar autenticação forte, vários métodos ou fatores são usados para verificar a autenticidade do usuário:
- Fator de conhecimento: segredo compartilhado entre o usuário e o sujeito autenticado do usuário (como senhas, respostas a perguntas de segurança, etc.)
- Fator de propriedade: um dispositivo que apenas o usuário possui (por exemplo, um dispositivo móvel, uma chave criptográfica, etc.)
- Fator de integridade: características físicas (geralmente biométricas) do usuário (por exemplo, impressão digital, padrão da íris, voz, comportamento, etc.)
A necessidade de hackear vários fatores aumenta muito a probabilidade de falha dos invasores, uma vez que contornar ou enganar vários fatores requer o uso de vários tipos de táticas de hacking, para cada fator separadamente.
Por exemplo, com 2FA “senha + smartphone”, um invasor pode realizar a autenticação olhando a senha do usuário e fazendo uma cópia exata do software de seu smartphone. E isso é muito mais difícil do que simplesmente roubar uma senha.
Mas se uma senha e um token criptográfico forem usados para 2FA, a opção de cópia não funciona aqui - é impossível duplicar o token. O fraudador precisará roubar furtivamente o token do usuário. Caso o usuário perceba a perda de tempo e avise o administrador, o token será bloqueado e os esforços do fraudador serão em vão. É por isso que o fator propriedade exige o uso de dispositivos seguros especializados (tokens) em vez de dispositivos de uso geral (smartphones).
Usar todos os três fatores tornará esse método de autenticação bastante caro de implementar e bastante inconveniente de usar. Portanto, dois dos três fatores são normalmente usados.
Os princípios da autenticação de dois fatores são descritos com mais detalhes , no bloco “Como funciona a autenticação de dois fatores”.
É importante observar que pelo menos um dos fatores de autenticação utilizados na autenticação forte deve utilizar criptografia de chave pública.
A autenticação forte oferece proteção muito mais forte do que a autenticação de fator único baseada em senhas clássicas e MFA tradicional. As senhas podem ser espionadas ou interceptadas usando keyloggers, sites de phishing ou ataques de engenharia social (onde a vítima é enganada para revelar sua senha). Além disso, o dono da senha não saberá nada sobre o roubo. O MFA tradicional (incluindo códigos OTP, vinculação a um smartphone ou cartão SIM) também pode ser hackeado com bastante facilidade, uma vez que não é baseado em criptografia de chave pública (A propósito, há muitos exemplos em que, usando as mesmas técnicas de engenharia social, golpistas persuadiram os usuários a fornecer-lhes uma senha de uso único).
Felizmente, o uso de autenticação forte e MFA tradicional vem ganhando força em aplicações de consumo e empresariais desde o ano passado. O uso de autenticação forte em aplicações de consumo cresceu de forma particularmente rápida. Se em 2017 apenas 5% das empresas utilizavam, em 2018 já era três vezes mais – 16%. Isso pode ser explicado pela maior disponibilidade de tokens que suportam algoritmos de criptografia de chave pública (PKC). Além disso, o aumento da pressão dos reguladores europeus após a adoção de novas regras de proteção de dados, como a PSD2 e o GDPR, teve um forte efeito mesmo fora da Europa (inclusive na Rússia).
Vamos dar uma olhada mais de perto nesses números. Como podemos ver, a percentagem de particulares que utilizam autenticação multifator cresceu uns impressionantes 11% ao longo do ano. E isso claramente aconteceu às custas dos amantes de senhas, já que os números daqueles que acreditam na segurança das notificações Push, SMS e biometria não mudaram.
Mas com a autenticação de dois fatores para uso corporativo, as coisas não são tão boas. Em primeiro lugar, segundo o relatório, apenas 5% dos funcionários foram transferidos da autenticação por senha para tokens. E em segundo lugar, o número daqueles que utilizam opções alternativas de AMF num ambiente empresarial aumentou 4%.
Vou tentar bancar o analista e dar minha interpretação. No centro do mundo digital dos usuários individuais está o smartphone. Portanto, não é à toa que a maioria utiliza os recursos que o dispositivo lhes oferece – autenticação biométrica, notificações por SMS e Push, além de senhas de uso único geradas por aplicativos no próprio smartphone. As pessoas geralmente não pensam em segurança e confiabilidade ao usar as ferramentas com as quais estão acostumadas.
É por isso que a percentagem de utilizadores de factores de autenticação “tradicionais” primitivos permanece inalterada. Mas quem já utilizou senhas entende o quanto está arriscando e, ao escolher um novo fator de autenticação, optam pela opção mais nova e segura - um token criptográfico.
Já para o mercado corporativo, é importante entender em qual sistema é realizada a autenticação. Se o login em um domínio do Windows for implementado, serão usados tokens criptográficos. As possibilidades de uso para 2FA já estão integradas no Windows e no Linux, mas as opções alternativas são longas e difíceis de implementar. Chega de migração de 5% de senhas para tokens.
E a implementação do 2FA em um sistema de informação corporativo depende muito da qualificação dos desenvolvedores. E é muito mais fácil para os desenvolvedores pegar módulos prontos para gerar senhas de uso único do que entender o funcionamento de algoritmos criptográficos. E, como resultado, até mesmo aplicativos extremamente críticos para a segurança, como sistemas de logon único ou gerenciamento de acesso privilegiado, usam OTP como um segundo fator.
Muitas vulnerabilidades nos métodos de autenticação tradicionais
Embora muitas organizações continuem dependentes de sistemas legados de fator único, as vulnerabilidades na autenticação multifator tradicional estão se tornando cada vez mais aparentes. Senhas de uso único, normalmente de seis a oito caracteres, entregues via SMS, continuam sendo a forma mais comum de autenticação (além do fator senha, é claro). E quando as palavras “autenticação de dois fatores” ou “verificação em duas etapas” são mencionadas na imprensa popular, quase sempre se referem à autenticação por senha única por SMS.
Aqui o autor está um pouco enganado. A entrega de senhas de uso único via SMS nunca foi uma autenticação de dois fatores. Esta é na sua forma mais pura a segunda etapa da autenticação em duas etapas, onde a primeira etapa é inserir seu login e senha.
Em 2016, o Instituto Nacional de Padrões e Tecnologia (NIST) atualizou suas regras de autenticação para eliminar o uso de senhas de uso único enviadas via SMS. No entanto, estas regras foram significativamente flexibilizadas após os protestos da indústria.
Então, vamos acompanhar o enredo. O regulador americano reconhece, com razão, que a tecnologia ultrapassada não é capaz de garantir a segurança dos utilizadores e está a introduzir novas normas. Padrões concebidos para proteger os utilizadores de aplicações online e móveis (incluindo aplicações bancárias). A indústria está calculando quanto dinheiro terá de gastar na compra de tokens criptográficos verdadeiramente confiáveis, no redesenho de aplicações, na implantação de uma infraestrutura de chave pública e está “se levantando”. Por um lado, os usuários estavam convencidos da confiabilidade das senhas de uso único e, por outro lado, ocorreram ataques ao NIST. Como resultado, o padrão foi suavizado e o número de hacks e roubos de senhas (e dinheiro de aplicativos bancários) aumentou acentuadamente. Mas a indústria não precisou desembolsar dinheiro.
Desde então, as fraquezas inerentes ao SMS OTP tornaram-se mais aparentes. Os fraudadores usam vários métodos para comprometer mensagens SMS:
- Duplicação de cartão SIM. Os invasores criam uma cópia do SIM (com a ajuda de funcionários da operadora móvel, ou de forma independente, usando software e hardware especiais). Como resultado, o invasor recebe um SMS com uma senha de uso único. Em um caso particularmente famoso, os hackers conseguiram até mesmo comprometer a conta da AT&T do investidor em criptomoedas Michael Turpin e roubar quase US$ 24 milhões em criptomoedas. Como resultado, Turpin afirmou que a culpa foi da AT&T devido às fracas medidas de verificação que levaram à duplicação do cartão SIM.
Lógica incrível. Então a culpa é apenas da AT&T? Não, é sem dúvida culpa da operadora móvel que os vendedores da loja de comunicação tenham emitido uma segunda via do cartão SIM. E quanto ao sistema de autenticação de troca de criptomoedas? Por que eles não usaram tokens criptográficos fortes? Foi uma pena gastar dinheiro na implementação? O próprio Michael não é o culpado? Por que ele não insistiu em mudar o mecanismo de autenticação ou usar apenas as exchanges que implementam autenticação de dois fatores baseada em tokens criptográficos?
A introdução de métodos de autenticação verdadeiramente confiáveis é atrasada precisamente porque os usuários mostram um descuido incrível antes de hackear e, depois, culpam qualquer pessoa e qualquer coisa por seus problemas, exceto tecnologias de autenticação antigas e “vazadas”.
- Malware. Uma das primeiras funções do malware móvel foi interceptar e encaminhar mensagens de texto aos invasores. Além disso, os ataques man-in-the-browser e man-in-the-middle podem interceptar senhas de uso único quando elas são inseridas em laptops ou desktops infectados.
Quando o aplicativo Sberbank em seu smartphone pisca com um ícone verde na barra de status, ele também procura “malware” em seu telefone. O objetivo deste evento é transformar o ambiente de execução não confiável de um smartphone típico, pelo menos de alguma forma, em um ambiente confiável.
A propósito, um smartphone, por ser um dispositivo totalmente não confiável no qual tudo pode ser feito, é outro motivo para usá-lo para autenticação apenas tokens de hardware, que são protegidos e livres de vírus e cavalos de Tróia. - Engenharia social. Quando os golpistas sabem que uma vítima tem OTPs habilitados via SMS, eles podem contatá-la diretamente, fazendo-se passar por uma organização confiável, como seu banco ou cooperativa de crédito, para induzir a vítima a fornecer o código que acabou de receber.
Eu pessoalmente encontrei esse tipo de fraude muitas vezes, por exemplo, ao tentar vender algo em um popular mercado de pulgas online. Eu mesmo zombei do vigarista que tentou me enganar o quanto quisesse. Mas, infelizmente, leio regularmente nas notícias como outra vítima de golpistas “não pensou”, forneceu o código de confirmação e perdeu uma grande quantia. E tudo isso porque o banco simplesmente não quer lidar com a implementação de tokens criptográficos em suas aplicações. Afinal, se algo acontecer, os clientes “serão os culpados”.
Embora métodos alternativos de entrega de OTP possam mitigar algumas das vulnerabilidades neste método de autenticação, outras vulnerabilidades permanecem. Aplicativos autônomos de geração de código são a melhor proteção contra espionagem, já que mesmo o malware dificilmente consegue interagir diretamente com o gerador de código (seriamente? O autor do relatório esqueceu o controle remoto?), mas OTPs ainda podem ser interceptados quando inseridos no navegador (por exemplo, usando um keylogger), por meio de um aplicativo móvel hackeado; e também pode ser obtido diretamente do usuário por meio de engenharia social.
Usando várias ferramentas de avaliação de risco, como reconhecimento de dispositivos (detecção de tentativas de realizar transações de dispositivos que não pertencem a um usuário legal), geolocalização (um usuário que acabou de chegar a Moscou tenta realizar uma operação em Novosibirsk) e a análise comportamental são importantes para lidar com vulnerabilidades, mas nenhuma das soluções é uma panacéia. Para cada situação e tipo de dado, é necessário avaliar cuidadosamente os riscos e escolher qual tecnologia de autenticação deverá ser utilizada.
Nenhuma solução de autenticação é uma panacéia
Figura 2. Tabela de opções de autenticação
| Autenticação | Fator | descrição | Principais vulnerabilidades |
| Senha ou PIN | Conhecimento | Valor fixo, que pode incluir letras, números e vários outros caracteres | Pode ser interceptado, espionado, roubado, recolhido ou hackeado |
| Autenticação baseada em conhecimento | Conhecimento | Questiona as respostas que apenas um usuário legal pode saber | Pode ser interceptado, recolhido e obtido usando métodos de engenharia social |
| OTP de hardware () | Posse | Um dispositivo especial que gera senhas de uso único | O código pode ser interceptado e repetido ou o dispositivo pode ser roubado |
| OTPs de software | Posse | Um aplicativo (móvel, acessível por navegador ou envio de códigos por e-mail) que gera senhas de uso único | O código pode ser interceptado e repetido ou o dispositivo pode ser roubado |
| SMS OTP | Posse | Senha de uso único entregue via mensagem de texto SMS | O código pode ser interceptado e repetido, ou o smartphone ou cartão SIM pode ser roubado, ou o cartão SIM pode ser duplicado |
| Cartões inteligentes () | Posse | Um cartão que contém um chip criptográfico e uma memória de chave segura que utiliza uma infraestrutura de chave pública para autenticação | Pode ser roubado fisicamente (mas um invasor não poderá usar o dispositivo sem conhecer o código PIN; em caso de várias tentativas de entrada incorretas, o dispositivo será bloqueado) |
| Chaves de segurança - tokens (, ) | Posse | Um dispositivo USB que contém um chip criptográfico e uma memória de chave segura que utiliza uma infraestrutura de chave pública para autenticação | Pode ser roubado fisicamente (mas um invasor não poderá usar o dispositivo sem saber o código PIN; no caso de várias tentativas de entrada incorretas, o dispositivo será bloqueado) |
| Vinculando a um dispositivo | Posse | O processo que cria um perfil, geralmente usando JavaScript ou marcadores como cookies e Flash Shared Objects para garantir que um dispositivo específico esteja sendo usado | Os tokens podem ser roubados (copiados) e as características de um dispositivo legal podem ser imitadas por um invasor em seu dispositivo |
| Comportamento | Inerência | Analisa como o usuário interage com um dispositivo ou programa | O comportamento pode ser imitado |
| Impressões digitais | Inerência | As impressões digitais armazenadas são comparadas com aquelas capturadas óptica ou eletronicamente | A imagem pode ser roubada e usada para autenticação |
| Varredura ocular | Inerência | Compara características oculares, como o padrão da íris, com novas varreduras ópticas | A imagem pode ser roubada e usada para autenticação |
| Reconhecimento facial | Inerência | Características faciais são comparadas com novas varreduras ópticas | A imagem pode ser roubada e usada para autenticação |
| Reconhecimento de voz | Inerência | As características da amostra de voz gravada são comparadas com novas amostras | O registro pode ser roubado e usado para autenticação ou emulado |
Na segunda parte da publicação, o que há de mais delicioso nos espera - números e fatos, nos quais se baseiam as conclusões e recomendações dadas na primeira parte. A autenticação em aplicações de usuários e em sistemas corporativos será discutida separadamente.
Até breve!
Fonte: habr.com