Biometria e Senhas Descartáveis(OTP – One Time Passwords)

Biometria Como melhorar o processo de reconhecimento e

autenticação? Várias amostras são coletadas

Na autenticação não se exige uma comparação exata! Intervalos estatísticos de valores são definidos Reconhecimento de padrões: técnicas de IA Em alguns sistemas o administrador pode configurar o nível

de aceitação exigido Relação entre os níveis exigidos: alto x baixo

O que pode acontecer?

Biometria A identificação biométrica é um processo um-para-muitos! A amostra submetida ao sistema é comparada com todos os

modelos da base de dados Se ela coincidir com algum dos modelos a identidade do

usuário a quem aquele modelo pertence é definida A verificação biométrica é um processo um-para-um! O usuário irá digitar o seu nome e então adquire-se uma

amostra para a verificação O algoritmo de comparação usará apenas o modelo

armazenado àquele nome

Falsa Aceitação e Falsa Rejeição Na escolha de um sistema de autenticação biométrico, o

desempenho é uma aspecto que deve ser levado em conta Métricas:

taxa de falsa aceitação (FAR – False Acceptance Rate) taxa de falsa rejeição (FRR – False Rejection Rate)

O que representa cada uma destas métricas? O nível de precisão configurado nos algoritmos tem efeito

direto sobre estas métricas A falsa rejeição causa frustração e a falsa aceitação causa

fraude

Falsa Aceitação e Falsa Rejeição A medida crítica é conhecida como taxa de cruzamento

(crossover rate) Muitos sistemas biométricos comerciais têm taxas de

cruzamento abaixo de 0,2% e alguns abaixo de 0,1% As taxas FAR e FRR podem ser obtidas através de protocolos

"uma tentativa" ou "três tentativas" "uma tentativa": os usuários têm apenas uma chance de

passar no teste biométrico "três tentativas": o usuário tem até três chances antes que

seja definitivamente rejeitado.

Falsa Aceitação e Falsa Rejeição

Alguns softwaresTrueFace é um software de reconhecimento de face baseado na

tecnologia de redes neurais. Ele se adapta a variações na imagem da face como posição da

cabeça e condições de iluminação. Principais vantagens do TrueFace:

A aplicação é passiva para o usuário A cada tentativa de acesso, é gravada a imagem do usuário É rápido: de 1 a 5 segundos e utiliza câmeras comuns com

resolução de 320x240 pontos Possui soluções para desktop, redes cliente-servidor,

intranets e Internet.

TrueFace

TrueFace Não realiza o teste de expressões Possui proteção contra algumas formas comuns de fraude Ele grava a imagem da face de tentativas mal sucedidas de

acesso ao site, notificando a administração do servidor Detecta a tentativa de uso de fotos de usuários autorizados Existe versão para Web

FaceIt É um pacote de software também para reconhecimento de face Principais vantagens do FaceIt são:

Facilidade de uso e rapidez; Não utiliza nenhum hardware proprietário. Só necessita de

uma câmera que capture 5 quadros por segundo e com resolução de 320 x 240 pontos.

Registro da face a cada tentativa de acesso ao sistema, para fins de auditoria;

Possui soluções para desktop, redes cliente-servidor, intranets e Internet.

Cadastro de um usuário no FaceIt

BioLogon

Senhas Descartáveis(OTP – One Time Passwords)

DefiniçãoÉ uma senha que perde a validade após um processo de

autenticação para impedir um phishing da senha. O objetivo é fazer com que o usuário informe senhas

diferentes a cada acesso. OTPs não podem ser memorizadas pelos humanos: requer

uma tecnologia adicional.

Definição Existem muitas implementações de senhas descartáveis

baseadas em software e hardware. Hardware: dispositivos especiais como smartcards e tokens. Os tokens possuem um microprocessador de 8 bits, uma

bateria, um clock, um visor de cristal líquido e, em alguns modelos, um teclado.

Definição As senhas descartáveis podem ser classificadas em duas

categorias: sincronizadas no tempo desafio/resposta.

No método de autenticação sincronizado uma nova senha é gerada a cada 30 segundos, de acordo com um algoritmo pré-definido que utiliza o dia, a hora e um segredo

Em sistemas baseados em desafio/resposta, o sistema envia um desafio para o usuário (geralmente um número ou um string), que retorna uma resposta baseada em um algoritmo pré-definido.

Algoritmo de Lamport Algoritmo matemático:

Utiliza função hash (f) e determina a próxima configuração em função da última combinação gerada (s).

f(s), f(f(s)), f(f(f(s))), ...

Geralmente f é uma função hash criptografada: Entrada: conjunto arbitrário de dados Saída: string de bits de tamanho fixo

Esquema

Vantagens Nenhum dado secreto estático é transmitido via uma rede A criação de novas senhas a cada utilização evita que um

software malicioso intercepte e explore senhas capturadas É uma solução que não precisa ser implementada em

software É necessário um sistema back-end para verificar a validade da

senha. Sistemas OTP são mais seguros que aqueles que praticam

políticas de senhas reutilizáveis, como o Kerberos.

Hoje Mecanismos OTP usando celulares, pagers ou PDAs, via

SMS.

Aplicações bancárias.

Dispositivos

Java 2 Platform, Micro Edition (J2ME).

Estratégias para OTP Os sistemas mais populares para autenticação que usam

senhas descartáveis são:

SecurID

S/KEY

SecurID

Tokens físicos são utilizados para autenticar usuários. Cada usuário possui um cartão que gera os tokens. O algoritmo usado pelo token é proprietário. Cada cartão ou token contém uma única senha secreta. Uma cópia desta senha está no servidor de autenticação. Esta senha é utilizada para gerar o número de 6 dígitos que é

apresentado ao usuário.

S/KEY Passo inicial: inicialização de alguns dados por parte do

usuário. 1. Usuário faz um login em um servidor de autenticação seguro.

Este login deve ser local ou utilizando uma rede segura. O login remoto “derruba” a idéia do S/KEY

1. Usuário escolhe uma senha secreta e o número de senhas (n) descartáveis que o sistema irá gerar.

2. O software aplica um conjunto de n passos, definidos em uma função hash, sobre a senha secreta

3. O resultado é armazenado no servidor de autenticação.

S/KEY O servidor de autenticação mantém o controle do número de

vezes que cada usuário se autentica no sistema. A primeira vez que o usuário realiza o acesso é solicitado a

combinação n-1 gerada com a função hash. O usuário digita sua senha secreta em sua máquina local. O software aplica n-1 iterações da função hash sobre a

informação dada pelo usuário. O resultado é enviado pela rede para o servidor de

autenticação.

S/KEY O servidor aplica a função hash sobre a mensagem e o

resultado é comparado com o armazenado anteriormente. Se conferir: usuário autenticado!!! O servidor substitui o valor armazenado pela mensagem que

ele recebeu e decrementa o contador de senhas n. Dessa maneira, o servidor se prepara para uma próxima

autenticação. O usuário precisa de um software S/KEY cliente. Se ele não tiver: deve possuir uma lista dos OTPs para

informar a cada solicitação. Semelhança: Cartão de chaves de segurança dos bancos.

Problemas do S/KEY A senha descartável é enviada pela rede em texto plano. Se alguém interceptar e conhecer a função hash, a segurança

é quebrada! A senha secreta é a chave de todo o processo:

OTPs = funcao_hash (senha_secreta_usuario)

A proteção desta senha é fundamental para a segurança do esquema.