biometria e senhas descartáveis · muitos sistemas biométricos comerciais têm taxas de...
TRANSCRIPT
Biometria Como melhorar o processo de reconhecimento e
autenticação? Várias amostras são coletadas
Na autenticação não se exige uma comparação exata! Intervalos estatísticos de valores são definidos Reconhecimento de padrões: técnicas de IA Em alguns sistemas o administrador pode configurar o nível
de aceitação exigido Relação entre os níveis exigidos: alto x baixo
O que pode acontecer?
Biometria A identificação biométrica é um processo um-para-muitos! A amostra submetida ao sistema é comparada com todos os
modelos da base de dados Se ela coincidir com algum dos modelos a identidade do
usuário a quem aquele modelo pertence é definida A verificação biométrica é um processo um-para-um! O usuário irá digitar o seu nome e então adquire-se uma
amostra para a verificação O algoritmo de comparação usará apenas o modelo
armazenado àquele nome
Falsa Aceitação e Falsa Rejeição Na escolha de um sistema de autenticação biométrico, o
desempenho é uma aspecto que deve ser levado em conta Métricas:
taxa de falsa aceitação (FAR – False Acceptance Rate) taxa de falsa rejeição (FRR – False Rejection Rate)
O que representa cada uma destas métricas? O nível de precisão configurado nos algoritmos tem efeito
direto sobre estas métricas A falsa rejeição causa frustração e a falsa aceitação causa
fraude
Falsa Aceitação e Falsa Rejeição A medida crítica é conhecida como taxa de cruzamento
(crossover rate) Muitos sistemas biométricos comerciais têm taxas de
cruzamento abaixo de 0,2% e alguns abaixo de 0,1% As taxas FAR e FRR podem ser obtidas através de protocolos
"uma tentativa" ou "três tentativas" "uma tentativa": os usuários têm apenas uma chance de
passar no teste biométrico "três tentativas": o usuário tem até três chances antes que
seja definitivamente rejeitado.
Alguns softwaresTrueFace é um software de reconhecimento de face baseado na
tecnologia de redes neurais. Ele se adapta a variações na imagem da face como posição da
cabeça e condições de iluminação. Principais vantagens do TrueFace:
A aplicação é passiva para o usuário A cada tentativa de acesso, é gravada a imagem do usuário É rápido: de 1 a 5 segundos e utiliza câmeras comuns com
resolução de 320x240 pontos Possui soluções para desktop, redes cliente-servidor,
intranets e Internet.
TrueFace Não realiza o teste de expressões Possui proteção contra algumas formas comuns de fraude Ele grava a imagem da face de tentativas mal sucedidas de
acesso ao site, notificando a administração do servidor Detecta a tentativa de uso de fotos de usuários autorizados Existe versão para Web
FaceIt É um pacote de software também para reconhecimento de face Principais vantagens do FaceIt são:
Facilidade de uso e rapidez; Não utiliza nenhum hardware proprietário. Só necessita de
uma câmera que capture 5 quadros por segundo e com resolução de 320 x 240 pontos.
Registro da face a cada tentativa de acesso ao sistema, para fins de auditoria;
Possui soluções para desktop, redes cliente-servidor, intranets e Internet.
DefiniçãoÉ uma senha que perde a validade após um processo de
autenticação para impedir um phishing da senha. O objetivo é fazer com que o usuário informe senhas
diferentes a cada acesso. OTPs não podem ser memorizadas pelos humanos: requer
uma tecnologia adicional.
Definição Existem muitas implementações de senhas descartáveis
baseadas em software e hardware. Hardware: dispositivos especiais como smartcards e tokens. Os tokens possuem um microprocessador de 8 bits, uma
bateria, um clock, um visor de cristal líquido e, em alguns modelos, um teclado.
Definição As senhas descartáveis podem ser classificadas em duas
categorias: sincronizadas no tempo desafio/resposta.
No método de autenticação sincronizado uma nova senha é gerada a cada 30 segundos, de acordo com um algoritmo pré-definido que utiliza o dia, a hora e um segredo
Em sistemas baseados em desafio/resposta, o sistema envia um desafio para o usuário (geralmente um número ou um string), que retorna uma resposta baseada em um algoritmo pré-definido.
Algoritmo de Lamport Algoritmo matemático:
Utiliza função hash (f) e determina a próxima configuração em função da última combinação gerada (s).
f(s), f(f(s)), f(f(f(s))), ...
Geralmente f é uma função hash criptografada: Entrada: conjunto arbitrário de dados Saída: string de bits de tamanho fixo
Vantagens Nenhum dado secreto estático é transmitido via uma rede A criação de novas senhas a cada utilização evita que um
software malicioso intercepte e explore senhas capturadas É uma solução que não precisa ser implementada em
software É necessário um sistema back-end para verificar a validade da
senha. Sistemas OTP são mais seguros que aqueles que praticam
políticas de senhas reutilizáveis, como o Kerberos.
Estratégias para OTP Os sistemas mais populares para autenticação que usam
senhas descartáveis são:
SecurID
S/KEY
SecurID
Tokens físicos são utilizados para autenticar usuários. Cada usuário possui um cartão que gera os tokens. O algoritmo usado pelo token é proprietário. Cada cartão ou token contém uma única senha secreta. Uma cópia desta senha está no servidor de autenticação. Esta senha é utilizada para gerar o número de 6 dígitos que é
apresentado ao usuário.
S/KEY Passo inicial: inicialização de alguns dados por parte do
usuário. 1. Usuário faz um login em um servidor de autenticação seguro.
Este login deve ser local ou utilizando uma rede segura. O login remoto “derruba” a idéia do S/KEY
1. Usuário escolhe uma senha secreta e o número de senhas (n) descartáveis que o sistema irá gerar.
2. O software aplica um conjunto de n passos, definidos em uma função hash, sobre a senha secreta
3. O resultado é armazenado no servidor de autenticação.
S/KEY O servidor de autenticação mantém o controle do número de
vezes que cada usuário se autentica no sistema. A primeira vez que o usuário realiza o acesso é solicitado a
combinação n-1 gerada com a função hash. O usuário digita sua senha secreta em sua máquina local. O software aplica n-1 iterações da função hash sobre a
informação dada pelo usuário. O resultado é enviado pela rede para o servidor de
autenticação.
S/KEY O servidor aplica a função hash sobre a mensagem e o
resultado é comparado com o armazenado anteriormente. Se conferir: usuário autenticado!!! O servidor substitui o valor armazenado pela mensagem que
ele recebeu e decrementa o contador de senhas n. Dessa maneira, o servidor se prepara para uma próxima
autenticação. O usuário precisa de um software S/KEY cliente. Se ele não tiver: deve possuir uma lista dos OTPs para
informar a cada solicitação. Semelhança: Cartão de chaves de segurança dos bancos.
Problemas do S/KEY A senha descartável é enviada pela rede em texto plano. Se alguém interceptar e conhecer a função hash, a segurança
é quebrada! A senha secreta é a chave de todo o processo:
OTPs = funcao_hash (senha_secreta_usuario)
A proteção desta senha é fundamental para a segurança do esquema.