2020-09-21T20:26:36+01:0021/09/2020|Tags: , , |

Dados pessoais em bancos de dados centralizados são uma ameaça à segurança da ID móvel

14 de setembro de 2020

Por Kevin Freiburger, Diretor de Programas de Identificação da Valid.

O mercado de verificação de ID deve bater US$ 12,8 bilhões até 2024. Diversos estados dos EUA já aderiram ao movimento da carteira de habilitação móvel, e outros mercados, como universidades, já adotam IDs móveis para controle de acesso físico aos campi, acesso lógico a recursos de computador e rede e funcionalidades de cartão de pagamento.

Essa rápida adoção e os diversos casos de uso do setor público tornaram a segurança de dados na tecnologia de ID móvel o assunto do momento. Diversas implementações confiam em um armazém de dados centralizado gerido pelo emissor da ID que protege as informações de identificação pessoal (PII) usando uma abordagem avançada multicamadas que inclui criptografia e outras técnicas.

No entanto, até esses métodos de segurança mais fortes estão em risco porque os avanços nas habilidades dos criminosos digitais também são grandes. Na verdade, 72% dos gestores de risco acreditam que riscos complexos estão emergindo mais rapidamente do que suas habilidades estão avançando, o que coloca as PIIs de milhões de pessoas em risco.

Dados centralizados e criptografados podem ser ameaçados pela computação quântica e outras vulnerabilidades

A criptografia é um pilar da segurança de dados da ID móvel. Desvendar os algoritmos da criptografia para obter acesso a PIIs exige um alto nível de potência computacional, e os recursos de hoje não dão conta disso.

Os computadores clássicos “pensam” em 1 e 0 e só podem ter um desses dois estados de cada vez. Essa tecnologia limita a potência computacional das máquinas de hoje e faz com que seja muito caro aumentar essa potência. Mas essa limitação torna a criptografia mais segura. É muito caro e difícil criar a potência computacional necessária para quebrar a criptografia que protege os dados armazenados e guardados pelas instituições governamentais ou outras emissoras de credenciais de identidade. No entanto, nem toda criptografia é criada de forma igual, e a computação quântica torna vulneráveis criptografias mais fracas.

A computação quântica pode ter estados simultâneos (1 e 0 ao mesmo tempo). É uma tecnologia que possibilita níveis extremamente altos de potência computacional. Os pesquisadores da Google, por exemplo, dizem que seu computador quântico realizou um cálculo em 3 minutos e 20 segundos, algo que levaria 10.000 anos para outros computadores realizarem. Em teoria, esse nível de poder poderia dar aos hackers uma chance real de quebrar algoritmos de criptografia mais fracos e obter acesso aos sistemas que armazenam as PIIs.

A computação quântica é um risco para o futuro, mas existem muitos outros vetores de ataque hoje em dia que podem expor PIIs por acidente. Por exemplo, redes e firewalls mal configurados, servidores e softwares sem correção e ameaças internas executadas por pessoas da organização.

Como os sistemas de verificação de ID lidam com as ameaças existentes e emergentes?

Para reduzir as vulnerabilidades de hoje e se preparar para o surgimento da computação quântica (e a inevitabilidade de que ela caia nas mãos das pessoas erradas), os sistemas de verificação de ID conseguem seguir duas abordagens.

  1. Armazenar PIIs fora de bancos de dados centrais. Existem diversas opções de implementação que removem os emissores como gestores de PII. No entanto, a opção do blockchain permite exclusivamente o armazenamento de dados descentralizados e identidades verdadeiramente descentralizadas, o que dá ao portador da credencial total controle. A Microsoft está trabalhando atualmente em um produto desses, e outras empresas também têm iniciativas parecidas. Essa abordagem única descentraliza emissores, verificadores, portadores de credenciais e até a Microsoft dentro do ecossistema. Só o portador da credencial gerencia as credenciais e as PII sensíveis.

Os verificadores de credenciais (TSA, polícia, varejistas, etc) podem confiar na credencial apresentada por causa da tecnologia de certificação digital e hashing do blockchain. Os verificadores conseguem garantir que a ID é autêntica se o emissor usar um certificado digital, que funciona como uma assinatura ou digital exclusiva que “assina” cada dado. Os portadores de ID móvel gerenciam os dados sensíveis em um dispositivo seguro como uma carteira móvel e só os compartilham com os verificadores que desejarem. O proprietário de uma credencial compartilha seus dados com um verificador, e o verificador consegue autenticar o certificado digital do proprietário usando uma tecnologia comprovada chamada infraestrutura de chave pública, que já existe há anos. É muito simples para o portador, o verificador e o emissor da credencial.

  1. Autenticar credenciais com biometria Armazenar PIIs fora do blockchain só resolve uma parte dos problemas. Mas como autenticar o portador da credencial de forma segura apresentando a credencial digital? É aí que entra a biometria.

Um caso de uso permite que o proprietário adicione uma segurança extra para proteger a credencial digital. Por exemplo, as carteiras digitais podem exigir que o portador da credencial apresente uma impressão digital ou verificação facial para desbloquear a carteira antes de compartilhar as credenciais.

Outro caso de uso adiciona confiabilidade para os verificadores. Os emissores conseguem incluir uma foto na credencial digital na hora da emissão e “assinar” a foto com um certificado digital. Os verificadores conseguem capturar uma foto da pessoa que está apresentando a credencial e compará-la com a foto que foi emitida com a credencial digital. Se a biometria corresponder, a pessoa que apresentou a credencial é verificada. E, com a IA continuando a imitar mais do que a resposta humana ao CAPTCHA, talvez a segurança de dados da ID móvel comece a usar a biometria fisiológica também: métodos como batimento cardíaco ou voz, que os robôs não conseguem imitar.

As IDs móveis estão ganhando popularidade e continuarão a se espalhar conforme a adoção for normalizada. Mas, assim como com todas as novidades tecnológicas, a segurança de dados precisa ser a principal prioridade para quem tem a responsabilidade de lançar a tecnologia para o público. A criptografia é crítica, mas sabemos que a IA e a computação quântica estão surgindo e outras vulnerabilidades já existem. É mais importante do que nunca considerar outras soluções para proteger PIIs sensíveis, o que começa com a remoção dessas informações dos bancos de dados centralizados.

Sobre o autor

Kevin Freiburger é Diretor de Programas de Identidade e Gestão de Produto na Valid, onde lidera um grupo que oferece soluções de gestão de identidade e biometria em larga escala para empresas públicas e privadas.

ATENÇÃO: os Industry Insghts da Biometic Update são enviados por colaboradores. A visão expressa neste post é de responsabilidade do autor e não necessariamente reflete as visões da Biometric Update.

 

 Leia o original aqui. (Somente em inglês)