Notícias

Artigos Relacionados

|||

Indo além de palavras-passe e da autenticação Multifator. Solução Stealth (Identity) Unisys - Parte I

As palavras-passe estão em todo o lado. Nos complexos ambientes de TI dos nossos dias, cada aplicação, sítio da internet, dispositivo ou nível de acesso precisam de pelo menos uma. Como a tecnologia avançará, otimizando o tempo, mantendo a segurança e facilitando o o dia-a-dia do usuário?

80% de todos os utilizadores têm 3 ou mais palavras-passe para gerir, mas muito mais são possíveis dependendo das necessidades de acesso ao sistema. Implementadas de forma adequada, as palavras-passe fornecem um nível de segurança, mas as regras de complexidade, as alterações frequentemente necessárias e o número de palavras-passe de que os utilizadores se têm de lembrar são impressionantes. Os utilizadores acabam por rabiscar as palavras-passe num bloco de notas, ameaçando assim a segurança do sistema, ou tentam simplificar a sua vida reutilizando palavras-passe ou escolhendo palavras-passe fáceis quando o sistema o permite, mesmo que estas sejam práticas de segurança inseguras. O pior é que, o aumento da complexidade de palavras-passe está diretamente correlacionado com o aumento de chamadas para o suporte técnico, por isso, muitas empresas reduzem intencionalmente os requisitos de força da palavra-passe e, assim, a sua segurança. Não é de admirar que analistas do setor concluam que 30% de todas as chamadas para o suporte técnico em todo o setor sejam sobre problemas de palavra-passe, com um custo médio de 30 USD a 60 USD por chamada. Este custo de suporte técnico quando multiplicado numa empresa pode ser enorme. Embora seja necessário para a segurança do sistema, a resolução de problemas de palavras-passe é um grande desperdício de tempo para os administradores de sistemas ou para o pessoal de suporte técnico. Esta atividade repetitiva de baixo nível desvia recursos de apoio valiosos de tarefas de maior prioridade ou mais produtivas.
Os sistemas de autenticação utilizados pelas empresas estão prontos para uma revolução. Atualmente, existe uma grande variedade de métodos que são utilizados para identificar e verificar utilizadores. A palavra-passe ou PIN ainda é o principal método de verificação e muitas vezes diferem de acordo com o canal usado, por exemplo, uma palavra-passe para acesso online, um código de acesso para serviços bancários por telefone e um PIN separado para cartões ativados com chip e PIN. Além disso, os Call Centers podem seguir um método completamente diferente, verificando o autor da chamada usando dados pessoais, tais como a data de nascimento, nome de solteira da mãe ou informações de conta e endereço. Apesar dos esforços feitos para reforçar as medidas de segurança e instruir os utilizadores finais, o roubo de credenciais de login através de phishing, vishing e outros métodos continua a ser um grande problema e o custo da tecnologia para proteger os dados pessoais continua a aumentar.
Embora a autenticação multifator, atualmente utilizada para transações mais importantes, ofereça uma camada de proteção adicional e tenha sido eficaz na redução de perdas de cartões online e de pagamento, é incómoda e dispendiosa e não é implementada de forma consistente em todo o setor. A camada de segurança adicional tem sido à custa da experiência do cliente e, por isso, é um entrave ao aumento de receitas de transações ou à introdução de novos serviços. A exigência para tornar a interação entre a organização e o consumidor mais simples nunca foi tão forte.
A utilização crescente de smartphones para fazer transações online oferece às empresas de serviços uma grande oportunidade de reavaliar os sistemas de segurança e autenticação, reforçar a segurança e ao mesmo tempo melhorar a experiência do cliente.

Desde autenticação até níveis de confiança

A autenticação consiste em verificar a autenticidade de um utilizador, e implica uma verificação de aprovação/reprovação e, tradicionalmente, foi implementada para permitir o acesso dos utilizadores a um sistema. Considerando que a credencial de um utilizador não pode ser verificada com certeza absoluta, os sistemas de autenticação no futuro precisam de considerar os Níveis de confiança na sua conceção. Um nível de Confiança é uma pontuação que determina a probabilidade de o utilizador ser quem diz ser. Com base neste nível de confiança, o sistema irá decidir que funções um cliente deve ser permitido realizar. 

No passado, quando uma nova ameaça era detetada, os bancos respondiam adicionando uma camada adicional de segurança tentando minimizá-la. Um exemplo disto é o pedido para o utilizador final fazer o download do “Rapport” ou doutro tipo de software. Cada camada adiciona um nível de complexidade adicional para os clientes e, desta forma, a taxa de utilização era baixa; atualmente, os clientes exigem um meio de interação mais simples e intuitivo, sem a necessidade de outras perguntas de login, códigos ou palavras-passe.

Confidence LevelO futuro da autenticação é adicionar estes novos métodos, quando apropriado, enquanto ao mesmo tempo se introduz inteligência em sistemas de autenticação que compreendam o comportamento do cliente e adaptem os meios de autenticação a cada situação. No futuro, os sistemas deixarão de permitir que qualquer pessoa defina as suas credenciais uma vez e obtenha acesso a todas as funções. O processo de verificação será um processo contínuo para verificar as credenciais ao longo de uma sessão. Em vez disso, os novos sistemas permitirão ou negarão o acesso a uma função com base no nível de confiança de que o utilizador tem as credenciais corretas, entre outros fatores. O nível de confiança será usado em conjunto com o fator de risco da transação para determinar que verificação adicional é necessária, se aplicável.

Autenticação multifator

Podemos classificar os novos métodos de medir os níveis de confiança em fatores com base no tipo de informação que está a ser verificada. A tabela abaixo mostra os métodos de autenticação atuais e emergentes.

Fator Descrição Métodos de amostra
1 Dados pessoais ou memorizados
"Algo que você sabe"
ID/Palavra-passe de utilizador
PIN
Dados memorizados (data de nascimento, nome de solteira da mãe)
Informação de conta (Última transação)
2 Cartão ou dispositivo
“Algo que você tem”
Cartão de chip e PIN
Código OTB
Telemóvel
3 Biometria física
“Algo que está em si” 
Reconhecimento da face
Padrões de voz
Impressões digitais
Padrão das veias da palma da mão
Padrões das veias dos dedos
Reconhecimento da íris 
4 Biometria comportamental
“A forma como faz algo” 
Assinatura
Ritmos de toque de teclas
Padrões de deslize
Padrões de clicar 
5 Comportamento de utilização
“Onde e quando” 
Localização de GPS
Endereço IP
Hora e data
Padrões históricos 


Fator 1: Dados pessoais ou memorizados “Algo que você sabe”

As palavras-passe e os PIN são incluídos nesta categoria, juntamente com dados pessoais, como a data de nascimento do utilizador, o nome de solteira da mãe, e as informações da conta, como a última transação efetuada. Existem inúmeras tecnologias disponíveis para impedir a recolha destes dados online, enquanto a incidência de malware e software fraudulento disponível para roubar estas credenciais continua a aumentar. Não existe nenhuma tecnologia que possa impedir que as pessoas entreguem os seus dados pessoais a fraudadores, o que pode acontecer através de campanhas de phishing ou keylogger. Além disso, é preocupante que a maioria dos clientes utilize as mesmas credenciais para todas as suas contas online, o que significa que mesmo quando uma organização investiu esforços consideráveis na proteção destes dados, estes detalhes podem ser facilmente obtidos por partes mal-intencionadas de outro sistema online, por exemplo, um site de vendas falso.

Identificação visual ou de imagem Manter o controlo de palavras-passe ou PIN e o processo complexo de os redefinir quando são perdidos ou esquecidos é uma das principais causas da insatisfação do cliente com os sistemas digitais. Para resolver este problema, algumas empresas implementaram a identificação visual ou de imagem como parte do processo de login e evidências preliminares sugerem que isto foi bem recebido pelos clientes.

Os smartphones também permitem a automatização de Perguntas e Respostas relacionadas com a utilização de dados pessoais para verificação. O software permite que sejam criadas aleatoriamente perguntas com base em dados pessoais ou memorizados, numa aplicação móvel, criando um meio fácil de pedir ao cliente que verifique estes detalhes.

Fator 2:  Cartão ou dispositivo (Algo que você tem)

A posse de um cartão com chip e PIN é atualmente o método mais normalmente utilizado como o segundo fator de autenticação. Isto tem funcionado bem para transações comerciais em que o cliente tem de apresentar um cartão. No entanto, em transações à distância ou online, existe a necessidade de um dispositivo adicional, como um leitor de cartões, para verificar a titularidade de um cartão, o que cria um problema de logística.

IphoneA posse de um telemóvel e/ou a propriedade de um número de telefone utilizado como um segundo fator para autenticação também estão a aumentar. Isto tem a vantagem óbvia de o utilizador não precisar de andar com um dispositivo extra. As aplicações de smartphone adicionam outra dimensão a esta segurança com a utilização de certificados digitais como camada de segurança adicional, assegurando que o proprietário é o utilizador registado do dispositivo. Outras capacidades, como a limpeza remota, a capacidade de limpar remotamente o conteúdo de um telefone roubado e as aplicações de localização de telefone fornecem proteção adicional, dando-lhes mais algumas vantagens sobre a utilização do cartão.
O sistema de verificação de pagamento lançado recentemente pelo PayPal usa o smartphone como fator inicial de autenticação, com o reconhecimento visual da face de uma pessoa como o segundo fator. Esta é uma grande mudança nos sistemas de autenticação, uma vez que não depende de um cartão ou outro código. O telefone é utilizado para identificação do cliente (isto pode ser feito assim que um cliente entra numa loja, sem a necessidade de fazer uma compra utilizando a tecnologia de Comunicação por campo de proximidade) e uma fotografia verificada do cliente armazenada com segurança no PayPal utilizada como a segunda verificação.

Fator 3:  Biometria física (Algo que está em si)

A biometria é a utilização de características humanas únicas (físicas ou comportamentais) para autenticar o utilizador. A biometria utiliza modelos estatísticos para mapear as características físicas e os tipos de identificação biométrica, incluindo reconhecimento facial, padrões vocais, impressões digitais, estrutura da mão, padrões das veias da palma da mão, padrões das veias dos dedos, reconhecimento da íris e muitos outros que ainda estão em desenvolvimento. A utilização da biometria para acesso físico na segurança de aeroportos e por governos para fins de identificação está atualmente bem estabelecida, no entanto, a utilização de dados biométricos no âmbito de acesso digital encontra-se ainda numa fase inicial. Esta é a área que provavelmente verá o desenvolvimento mais rápido nos próximos anos tendo em conta que a biometria oferece a vantagem óbvia de identificar uma pessoa de uma forma não invasiva e que sempre estará presente nela.  O principal obstáculo para a adoção de qualquer método biométrico é que requer registo seguro, contudo, uma vez concluído, o processo de verificação é mais simples do que os métodos de autenticação atuais, uma vez que não são necessários métodos extra como números PIN ou leitores de cartão.

A imagem abaixo mostra a maioria dos tipos comuns de tipos biométricos físicos que podem ser usados para autenticar utilizadores numa filial, online ou num smartphone.

Biometrics Recognition

Fator 4:  Biometria comportamental (A forma como faz algo)

O segundo tipo de biometria é a biometria comportamental; este é o registo estatístico de padrões comportamentais. Usar uma assinatura como meio de identificação é um exemplo de um padrão comportamental, tendo em conta que uma pessoa usa sempre o mesmo método de assinar o seu nome. A assinatura pode agora ser registada eletronicamente, armazenada e usada para comparar as assinaturas subsequentes feitas pelo cliente num ecrã digital, automatizando assim o processo de verificação de assinatura.

Biometria comportamentalOutras formas de biometria comportamental atualmente disponíveis são a medição e a monitorização de ritmos de toque de teclas, movimentos do rato, padrões de som ao clicar no rato, velocidades de deslize no ecrã tátil e padrões de deslize. Uma vantagem significativa da utilização de biometria comportamental para autenticação, ou verificação mais precisa, é que é discreta para o utilizador, os registos podem ser feitos registando os padrões de utilização durante um período de tempo e cada nova verificação retornará um nível de confiança para monitorizar quanto o novo padrão se aproxima do padrão histórico, com todas as exceções a serem destacadas.

Fator 5:  Comportamento de utilização (Quando e onde)

Comportamento de UtilizaçãoPor fim, o quinto fator que pode ser usado para autenticação é o comportamento de utilização, como quando e onde um utilizador geralmente interage com um serviço online. Este fator já é utilizado em sistemas de gestão de risco que detetam padrões não habituais de transações e, como esta verificação pode ser feita verificando a hora e data, a localização física ou de GPS de uma transação antes mesmo dela ser efetuada, qualquer atividade não habitual pode ser facilmente parada.

A autenticação multifator (MFA) de Stealth (Identity) da Unisys

A autenticação multifator de Stealth (Identity) é parte maior da estrutura de Stealth (Identity) que pode ser fornecida utilizada tanto como uma ferramenta autónoma como em conjunto com outros componentes da Stealth (Identity) que podem ser ligados. A arquitetura da SI foi concebida para ser altamente modular e configurável onde os componentes podem ser facilmente ligados estática ou dinamicamente para fornecer flexibilidade e reutilização máximas aos clientes. Serviços adicionais podem ser facilmente ligados e ativados na ferramenta, conforme necessário, sem quaisquer alterações na própria ferramenta. A STEALTH (IDENTITY) usa uma arquitetura flexível e repetível baseada na arquitetura orientada para serviços (SOA) concebida para nunca limitar a capacidade de expansão ou o desempenho.

Com este vasto conjunto de métodos de autenticação disponíveis e mais emergentes todos os dias, o desafio para a maioria das organizações é como usar estes métodos de forma adequada e eficaz, assegurando que a experiência do utilizador final não é comprometida. Para satisfazer este requisito, a Unisys desenvolveu uma Estrutura de autenticação multifator. Isto inclui um meio de interface normalizado entre sistemas e um mecanismo de regras que permite que sejam definidas regras sobre como as mensagens devem ser transferidas entre estes sistemas. Além disso, cada estrutura possui uma consola de monitorização e gestão comum com um painel e uma interface administrativa para operar e configurar todos os componentes que fazem parte da estrutura.

A MFA está concebida para ser o sistema de autenticação central no centro de uma organização, que trabalha em todos os canais. A Unisys optou por desenvolver uma abordagem de estrutura nesta área, uma vez que a maioria dos novos métodos de autenticação, especialmente biometria, são produtos especializados disponíveis no mercado, enquanto outros métodos de autenticação, tais como PIN, certificados digitais já estão implementados dentro de uma organização. Isto torna a estrutura da Unisys a abordagem mais adequada para facilitar a reutilização de métodos de autenticação existentes e adicionar novos métodos com facilidade. 

As vantagens de uma abordagem de estrutura são:

  • Permitir a captura/registo de informações de identidade uma vez, as quais são usadas em qualquer canal
  • Ter um mecanismo de regras que permite que a organização configure o sistema para melhor se adequar à organização e aos requisitos de cada canal, usando as mesmas credenciais armazenadas centralmente.
  • Minimizar a personalização de produtos COTS, uma vez que quaisquer requisitos específicos do sítio podem ser satisfeitos fora dos principais produtos COTS
  • Fornecer uma forma de interface personalizada entre sistemas
  • Permitir que uma capacidade “plug and play” substitua produtos COTS dentro destas estruturas com interrupção mínima
  • Centralizar as operações e a gestão de todos os componentes dentro de uma estrutura
  • Fornecer uma abordagem mais flexível para fazer alterações e permitir que novos produtos sejam introduzidos muito mais rapidamente.

Como funciona?

A estrutura foi concebida para ser usada como um sistema de autenticação inteligente, que usa vários fatores para estabelecer um nível de confiança para as credenciais do utilizador e decidir sobre os melhores meios de verificação. Esta decisão é baseada em três fatores: as capacidades do dispositivo do utilizador final, a função a ser realizada e a classificação de risco da transação.  O sistema pode ser configurado e ajustado pela organização para se adequar aos seus requisitos específicos, que também podem ser alterados quando necessário, para que a organização nunca seja bloqueada em qualquer forma de autenticação específica.

A imagem abaixo é um esquema de alto nível de como o sistema funciona usando um smartphone como meio de recolher as informações do utilizador.

Multi-layer Security

Com base nos dados recolhidos a partir do smartphone, automaticamente (exemplo de localização por GPS) ou por entrada para o utilizador, o sistema estabelece um nível de confiança para a sessão, avaliando então o risco da transação, que pode ser um conjunto de regras simples do sistema ou fazendo interface com um sistema de gestão de risco existente. Se o nível de confiança for adequado para a classificação de risco, a transação será permitida, caso contrário, o sistema irá pedir mais informações do utilizador, por exemplo, outro fator de autenticação para aumentar o nível de confiança. 


Este artigo continuará na próxima edição da Revista Digital Tecnologia e Desenvolvimento da DGM Sistemas.

Sistema Operativo Microsoft Cloud – Estudo de Caso Solução para Clientes

Sistema Operativo Microsoft Cloud – Estudo de Caso Solução para Clientes

A tecnologia Microsoft liderou uma das implementações de Bilhete de Identidade mais bem-sucedidas de sempre em África.

+
Interoperabilidade de Sistemas de Informação na Modernização da Administração Pública

Interoperabilidade de Sistemas de Informação na Modernização da Administração Pública

Nos dias de hoje, existe uma necessidade premente, por parte de todas as pessoas, de ter acesso à informação de uma forma rápida, fácil e controlada. Esta mudança de paradigma faz-se reflectir inclusive na administração pública, pois cada vez mais o cidadão tem menos tempo para despender em deslocações às instituições.

+