Hendrik Macedo
27/10/2017
No fim de 2014, o pesquisador Jan Krissler, Hamburgo, Alemanha, surpreendeu o mundo ao afirmar a uma plateia de hackers que praticamente todas as tecnologias de autenticação ditas inovadoras, disponíveis no mercado, poderiam ser burladas com pouco esforço. Ele se referia ao reconhecimento de face, reconhecimento de fala, leitor de impressão de digital, reconhecimento de íris, entre outros. O pesquisador demonstrou ao vivo, para perplexidade da plateia, os passos que permitiram que se passasse pela secretária de defesa do país, Ursula von der Leyen, perante dezenas de sistemas de segurança, de celulares a bancos. Para isso, fez uso apenas de fotos da secretaria disponíveis na Internet, um software de edição de imagens e uma impressora.
Uma alternativa para minimizar essa vulnerabilidade é a adoção da autenticação contínua. Na autenticação contínua, a identificação do usuário autorizado é feita recorrentemente ao longo da sessão, iniciada após o primeiro login. Ou seja, essa abordagem impede que uma vez realizado o login com sucesso, alguém com má intenção assuma o controle no lugar do usuário. A grande questão é que os métodos mais conhecidos existentes possuem uma limitação importante: eles exigem que o usuário interaja deliberadamente de tempos em tempos com o sistema de autenticação. Para um sistema baseado em identificação por impressão digital, por exemplo, o usuário deve posicionar o dedo reiteradamente para continuar a manusear o dispositivo no qual fez login; sistemas baseados em senhas funcionam de forma semelhante. Além de não resolverem por completo o problema da vulnerabilidade, esses métodos ferem bastante a usabilidade. Novos estudos propuseram métodos mais avançados, baseados na biometria comportamental do usuário, com o intuito de resolver essa importante limitação. No reconhecimento da dinâmica de digitação [2, 3], por exemplo, padrões de digitação de um usuário (velocidade, pausas, diferentes transições entre determinadas teclas pressionadas, etc.), que se provaram únicos para um dado usuário, são utilizados para manter a autorização de acesso ao longo do tempo. O problema, nesse caso, é que o usuário praticamente não pode parar de digitar ao longo de sua sessão e para grande parte das sessões iniciadas em um computador, essa não é a prática mais comum. Já no reconhecimento da observação ocular (do inglês, gaze patterns) [4, 5], observa-se os padrões de movimentação dos olhos do usuário para manter a autorização. Mais uma vez, a limitação é a necessidade de que o usuário permaneça “encarando” a tela do computador, sob pena de ter sua sessão encerrada.
Em uma conferência internacional de grande relevância para a pesquisa em Computação Móvel, a MobiCom 2017, ocorrida na semana passada em Utah, EUA, um grupo de pesquisadores apresentou uma proposta inovadora para a autenticação contínua. A tecnologia denominada de Cardiac Scan utiliza biometria baseada no coração [6]. Mais especificamente, o método de autenticação inovador é baseado na geometria e em características não voláteis da movimentação cardíaca (cardiac motion). Essa movimentação é uma deformação automática causada pela auto-excitação do músculo cardíaco, que é única para cada indivíduo e é bem difícil (se não impossível) de forjar, imitar. Portanto, essa biometria parece concentrar todas as propriedades necessárias e desejáveis para um mecanismo de autenticação seguro e que não comprometa a usabilidade: é intrínseco (a todos os organismos), permite identificação única, é automaticamente aferível (difícil de omitir), não volátil (desconhecido para o usuário e, portanto, não sujeito a manipulações) e robusto a ruídos do ambiente e condições de uso. O protótipo construído consistiu de um sistema de sensoriamento remoto de alta resolução baseado em um radar de ondas contínuas. Descritores de identidade invariantes da movimentação cardíaca são extraídos a partir da demodulação do sinal do radar. Para classificação do sinal, foi treinada uma Máquina de Vetores de Suporte (SVM) com Função de Base Radial (RBF) como kernel e Validação Cruzada 10-Fold.
Um estudo piloto conduzido com 78 voluntários foi realizado a fim de se avaliar a acurácia do modelo de autenticação e algumas outras medidas como o tempo de autenticação, a permanência, usabilidade em condições complexas e a vulnerabilidade. A acurácia do modelo nas condições de experimentação foi de 98,61% com taxa de falsos positivos e de falsos negativos iguais em 4,42% (Equal Error Rate – EER).
Os bons resultados aferidos para as métricas elencadas aliado ao processo de miniaturização do dispositivo (já previsto pelos autores) de modo a permitir que possa ser acoplado a teclados, tablets e smartphones, respaldam seu potencial em se tornar um sistema efetivo para autenticação contínua. Quem sabe essa tecnologia não seja nosso passaporte definitivo para uma vida digital mais tranquila, com menos preocupação diante das frequentes e cada vez mais aterrorizantes ameaças à nossa privacidade e até ao sequestro de nossos dados? Talvez possamos finalmente voltar a sentar na poltrona diante do computador com foco exclusivo no propósito original de sua criação. É interessante estarmos, quem sabe, a um passo de descobrir que a solução de nosso maior problema de relacionamento com a máquina sempre esteve ali, no mais emblemático dos órgãos de nosso corpo. Oi, tum, tum, bate coração / Oi, tum, coração pode bater…
[1] Crédito da imagem: Clker-Free-Vector-Images (Pixabay) / Creative Commons CC0. URL: https://pixabay.com/pt/cora%C3%A7%C3%A3o-amor-cora%C3%A7%C3%B5es-42960/.
[2] P Pinto et al. Free typed text using keystroke dynamics for continuous authentication. In 15th IFIP International Conference on Communications and Multimedia Security, pp 33–45. Springer (2014).
[3] SH Shepherd. Continuous authentication by analysis of keyboard typing characteristics. In European Convention on Security and Detection, 1995, pp 111–114. IET (1995).
[4] S Eberz et al. Preventing lunchtime attacks: Fighting insider threats with eye movement biometrics. NDSS (2015).
[5] K Mock et al. Real-time continuous iris recognition for authentication using an eye tracker. In Proceedings of the 2012 ACM conference on Computer and communications security, pp 1007–1009. ACM (2012).
[6] C Song et al. Cardiac Scan: A Non-Contact and Continuous Heart-Based User Authentication System. In The 23rd ACM Annual International Conference on Mobile Computing and Networking (2017).
Como citar este artigo: Hendrik Macedo. Seu coração pode ser sua fortaleza digital. Saense. URL: http://www.saense.com.br/2017/10/seu-coracao-pode-ser-sua-fortaleza-digital/. Publicado em 27 de outubro (2017).
Sensacional essa nova perspectivava para segurança da informação. Bem como o uso de reconhecimento de padrões , os quais já se encontram no próprio ser humano. A capacidade de deduzir respostas para certos problemas tendo a criatividade de buscar as respostas no local menos inusitado, em nós.