A maior violação de dados biométricos conhecida até agora foi relatada recentemente quando os pesquisadores conseguiram acessar um banco de dados de 23 gigabytes de mais de 27,8 milhões de registros, incluindo impressões digitais e dados de reconhecimento facial.

Os pesquisadores, trabalhando com a empresa de segurança cibernética VPNMentor, disseram que conseguiram acessar o sistema de bloqueio biométrico Biostar 2, que gerencia o acesso a instalações seguras, como depósitos ou prédios de escritórios. Este mecanismo de controle, administrado pela firma Suprema, é supostamente parte de um sistema usado por 5, 700 organizações em 83 países, incluindo governos, bancos e a Polícia Metropolitana do Reino Unido.

Essa violação destaca um grande problema com os sistemas de segurança biométrica que usam efetivamente as medições biológicas das pessoas como senhas. Ao contrário de nomes de usuário e senhas, os dados biométricos não podem ser alterados se forem roubados.

Dado que as violações de dados se tornaram uma parte inevitável de nosso mundo cada vez mais digital, isso significa que a segurança biométrica não tem um futuro de longo prazo, como é provável que um dia quase todos os dados de todos estarão flutuando no ciberespaço? Talvez em seu formato atual, mas também existem maneiras de resgatar a biometria e torná-la mais segura.

As senhas tradicionais são algo que você conhece. Os recursos biométricos são algo que você é. Impressões digitais, varreduras de íris, padrões de voz, fotos de rosto e ouvido e dados de reconhecimento facial podem ser usados ​​como uma forma de verificar se alguém é quem diz ser e se é muito difícil falsificar.

Os sistemas de autenticação armazenam com segurança uma cópia dos dados biométricos brutos e quando um usuário deseja fazer login no sistema, seus recursos são comparados com os dados armazenados. Antes apenas uma característica da ficção científica, os sistemas biométricos são agora amplamente usados ​​em instalações seguras da vida real, passaportes e até mesmo a autenticação da impressão digital em seu smartphone.

Mas a natureza única da biometria também é sua falha. Os dados biométricos podem fornecer uma maneira de identificar pessoas com um alto grau de precisão, mas uma vez que eles são roubados, não há nada que você possa fazer para torná-los seguros novamente. Claro, se sua impressão digital for roubada, você sempre pode usar outro dedo, mas você só poderia fazer isso 10 vezes.

Assim que alguém tiver seus dados de impressão digital, é possível imprimir uma réplica usando tinta condutora que pode enganar os scanners biométricos. Também há exemplos de pesquisadores enganando scanners de voz com ferramentas de transformação de som, scanners de íris com réplicas de imagens e scanners de rosto com fotos e até mesmo cabeças impressas em 3D.

Isso significa que é realmente importante proteger seus dados biométricos brutos de vazamento para partes indesejadas. Mas isso se tornará uma tarefa cada vez mais difícil à medida que revelamos nossos dados biométricos para mais e mais provedores de serviços.

Quase uma semana se passa sem notícias de outra empresa ter os dados de seus clientes roubados. Você provavelmente teve que alterar suas próprias senhas em pelo menos uma ocasião por causa disso. Se um número suficiente de pessoas tiver seus dados biométricos expostos, eventualmente, alguns sistemas podem se tornar inutilizáveis ​​porque muitos usuários não conseguirão efetuar login com segurança neles.

Na recente violação de dados biométricos, mais de 1 milhão de pessoas tiveram suas impressões digitais, dados de reconhecimento facial, fotos de rosto, nomes de usuário e senhas revelados. Também foi descoberto que estranhos poderiam substituir os registros biométricos no banco de dados por seus próprios detalhes, expondo outra maneira de superar as verificações de segurança.

Melhorando a segurança

Então, o que pode ser feito para tornar a segurança biométrica mais forte? Uma maneira simples são as senhas. É uma prática comum armazenar senhas primeiro criptografando-as ou "fazendo hash" delas. Esta é essencialmente uma versão unilateral de criptografia que transforma as senhas em uma sequência de caracteres conhecida como resumo de mensagem que é quase impossível de descriptografar.

Isso significa que mesmo se as senhas criptografadas vazarem, os hackers não conseguem obter as senhas. Os sistemas modernos nunca armazenariam senhas em seu formato de texto simples original.

Esse método também pode ser aplicado a dados biométricos, de forma que apenas as versões criptografadas ou de resumo de mensagem dos recursos biométricos sejam armazenadas. Na recente violação do banco de dados biométrico, todos os dados foram armazenados em formato bruto sem criptografia. Isso significa que os hackers podem acessar os recursos biométricos brutos dos usuários diretamente e replicá-los para entrar em serviços essenciais.

Outra maneira de tornar os sistemas biométricos mais seguros seria usar o blockchain, o sistema por trás de criptomoedas como Bitcoin. Com a tecnologia blockchain, você pode armazenar dados de clientes em um livro-razão distribuído protegido por criptografia em vários computadores em todo o mundo. Isso significa que apenas partes autorizadas podem acessar os dados (ou blocos de dados), e qualquer tentativa de modificar os dados será detectada por qualquer outro usuário inscrito no blockchain. Também é possível criar livros-razão distribuídos privados que apenas algumas pessoas podem acessar.

Mesmo isso pode não ser suficiente para manter os sistemas biométricos seguros para sempre. Pesquisadores demonstraram recentemente que é possível enganar scanners de impressão digital usando inteligência artificial para gerar cópias de impressão que podem vencer o sistema. Então, um dia, computadores avançados podem ser capazes de recriar quaisquer recursos, a fim de enganar o sistema de segurança biométrica para permitir a passagem de um impostor. Mas para agora, se os provedores de serviços biométricos tomarem algumas medidas simples para tornar seus dados mais seguros, mais poderíamos evitar violações que eventualmente tornarão esses sistemas obsoletos.

Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.