Senhas e Reconhecimento Biometrico

Ontem eu fui no shopping para comprar algumas coisas e aproveitei para passar no banco. Nessa agência, todos os terminais de auto atendimento possuem leitor biométrico (digital) e você só pode fazer qualquer transação após realizar seu cadastro biométrico. Neste post vou tentar lhe explicar porque você deveria evitar utilizar biometria como senha.

Two Factor Authentication

Two factor authentication (ou identificação por dois fatores como eu resolvi traduzir na Wikipédia) consiste no fato de utilizar duas informações para provar que você realmente é você. As informações utilizadas podem ser divididas em três categorias:

  • algo que o usuário sabe, e.g. uma senha;
  • algo que o usuário possui, e.g. um cartão magnético;
  • algo “inerente” ao usuário, e.g. sua digital.

A identificação por dois fatores é largamente utilizada no dia-a-dia. Se você ainda não conseguiu ligar os pontos alguns exemplos são:

  1. operações bancárias onde você precisa do seu cartão e da sua senha,
  2. voto nas eleições presidenciais onde você precisa do seu título eleitoral e da sua assinatura,
  3. entrada na repartição de trabalho onde você precisa do seu crachá e do “seu rosto”.

Reuso de Senhas

Como você já deve ter ouvido falar, não é muito seguro reutilizar suas senhas. Na Wikipédia encontramos

“It is common practice amongst computer users to reuse the same password on multiple sites. This presents a substantial security risk, since an attacker need only compromise a single site in order to gain access to other sites the victim uses. This problem is exacerbated by also reusing usernames, and by websites requiring email logins, as it makes it easier for an attacker to track a single user across multiple sites. Password reuse can be avoided or minimused by using mnemonic techniques, writing passwords down on paper, or using a password manager.”

Infelizmente, com o crescente número de serviços que utilizamos acaba sendo comum o reuso das senhas. Também na Wikipédia encontramos

“It has been argued by Redmond researchers Dinei Florencio and Cormac Herley, together with Paul C. van Oorschot of Carleton University, Canada, that password reuse is inevitable, and that users should reuse passwords for low-security websites (which contain little personal data and no financial information, for example) and instead focus their efforts on remember long, complex passwords for a few important accounts, such as banks accounts.”

Juntando os Pontos

Se especialistas dizem que devemos evitar reutilizar senhas porque eu devo utilizar minha digital (ou outro identificador biométrico) como minha senha nos vários serviços que sou obrigado a utilizar dado que minha digital não vai mudar? Me parece que tem algo muito errado nisso.

Extrapolações

No livro Mindscan existe um ótimo exemplo de um dos problemas em utilizar biometria para identificação.

Conclusões

Dados os problemas em utilizar biometria como senha falta agora procurar por alternativas.