Imagine uma senha que desbloqueasse todos os serviços que você utiliza regularmente na web, uma senha única que só você tem acesso e que está sempre à mão quando se precisa, com toda a segurança garantida. Assim são as soluções biométricas, de scanners de digitais, pupilas, até reconhecimento de rostos, fala e assinaturas, por exemplo.
A ideia em si não é nova, mas o barateamento de sensores e a inclusão de sensores de impressão digital em modelos de smartphones topo de linha tem atraído diversas empresas a explorar essa tecnologia. Para se ter uma ideia da grandeza desse novo mercado, já existem mais de 25 modelos de diferentes fabricantes disponíveis à venda contendo leitores de digitais, e segundo um estudo da IHS, a previsão é de que até 2020 haja um salto de 316 milhões para 1,6 bilhões de dispositivos habilitados.
Tendo em vista esse cenário, trazemos nesse post especial as principais questões que circundam as aplicações de biometria em aplicações online, os desafios ainda a serem enfrentados e as perspectivas para desenvolvedores e engenheiros de software.
Quem precisa de segurança?
Quando analisamos as necessidades de cada tipo de aplicação em termos de segurança, é comum associar os avanços a ramos específicos. Serviços de pagamentos online ou internet banking costumam ter um protagonismo no uso de autenticação biométrica, posição que é reforçada por limitações inclusive de ordem tecnológica: o sensor dos iPhones, por exemplo, só pode ser utilizado através do Touch ID, inicialmente voltado para serviços da Apple Pay.
Os sensores biométricos vêm como uma substituição segura dos tokens físicos, códigos de confirmação via sms ou one-time-passwords que oferecem uma camada de proteção adicional (e extremamente relevante) a transações financeiras, mas já se vislumbram horizontes mais amplos. É o caso de gerenciadores de senhas, aplicativos de integração de dispositivos inteligentes para automação residencial, assinaturas digitais ou mesmo no acesso a informações e sistemas corporativos (por exemplo, Enterprise Mobile Management).
A partir do Android 6 Marshmallow, desenvolvedores têm acesso a uma API que permite autenticação de usuários via impressão digital. Virtualmente, sistemas online de todos os tipos poderiam tirar vantagem desse tipo de autenticação para operações críticas como ‘apagar todos os registros’ de um e-commerce ou de um sistema de gestão empresarial.
No entanto, é preciso levar em conta que quanto mais barreiras de segurança forem implementadas, maior será o impacto na usabilidade do sistema. Em parte das aplicações, apesar da autenticação via digital não desacelerar a experiência do usuário em smartphones, a utilização do aparelho como token para transações mais comuns pode ser injustificada, burocratizando tarefas simples e criando overheads desnecessários.
De olho nos providers
Desenvolver e gerenciar um sistema baseado na Cloud para autenticação e segurança pode ser bastante custoso e demorado, mas diversas empresas já oferecem soluções completas que vão desde reconhecimento facial, como o BioID, combinações de diversos fatores biométricos, como o HYPR ou mesmo que oferecem gerenciamento completo de usuários e login com o TouchID, como o Auth0.
Já existem padrões para autenticação segura na nuvem utilizando dispositivos locais, desenvolvidos pela FIDO Alliance, o que permite que mais empresas se especializem na oferta de Biometrics as a Service. E mesmo gigantes como a Fujitsu/IWS já se preparam para essa nova demanda.
A um passo do futuro
O que pode-se esperar até o final dessa década é a popularização da biometria para as mais diversas finalidades, melhorias nos ambientes de desenvolvimento, softwares e arquiteturas. O novo Android 7 – Nougat traz pequenos incrementos em soluções do ‘Android for Work’, e a expectativa é que soluções cada vez mais robustas e simples de usar caiam nas mãos de desenvolvedores.
Aos poucos, serviços vão migrando de tecnologias antigas (e mais custosas) como SMS, magic-links por e-mail e tokens eletrônicos físicos para soluções biométricas, ganhando adesão e popularidade de usuários e empresas.
Além disso, a segurança dos dados biométricos fica por conta dos próprios sistemas operacionais, o que diminui os riscos de um eventual vazamento de uma ‘senha’ impossível de trocar. As arquiteturas contornam esse problema utilizando um encapsulamento local, ou seja, aplicações maliciosas não têm acesso às imagens ou dados da impressão digital em si, mas sim apenas ao resultado da autenticação.
Se sua aplicação é altamente dependente de segurança, uma boa ideia é se familiarizar com as APIs dos leitores de digital através da documentação e tutoriais para Android e iOS.
O que você espera dos novos serviços de Biometrics as a Service? Vale a pena abrir mão de um pouco de usabilidade para ter uma segurança reforçada? Deixe seu comentário e siga a nossa página para mais conteúdos como esse.