O reconhecimento facial, as impressões digitais e a leitura da íris têm todos os PINs, senhas e padrões de furto unidos. Mas qual você deve usar?
Houve um tempo, muito tempo atrás, em que tudo o que um telefone era projetado era para nós fazermos ligações, enviar algumas mensagens de texto e jogar alguns jogos de cobra. Mas hoje, quando grande parte de nossas vidas ricas em dados vivem dentro das conchas de nossos smartphones, nunca foi tão importante manter todos os nossos telefones seguros. Felizmente, agora é tão fácil travar seu telefone que todos deveriam estar fazendo isso.
Junto com códigos de acesso, senhas e padrões, os fabricantes de smartphones agora estão implementando processos de segurança biométrica, como ID de rosto e leitura de íris em dispositivos Android e iOS para oferecer aos usuários uma maneira mais rápida e conveniente de desbloquear seus telefones.
Com a existência de uma verdadeira miscelânea de maneiras de desbloquear os telefones de hoje, existe um método que seja o mais seguro? E como tornar o método de bloqueio de telefone escolhido o mais seguro possível?
A melhor forma de defesa é sua senha, PIN ou senha
Códigos de acesso, PINs, frases de acesso e padrões atuam como a defesa central para qualquer método biométrico de desbloqueio do telefone. Mas essas opções não são todas igualmente seguras. Embora nenhum dos métodos de segurança seja totalmente à prova de idiotas, a senha ou PIN parece ser a melhor defesa contra invasores que desejam acessar seu telefone.
“Este é um problema complexo, mas para pessoas que não são especialistas em segurança, um PIN é muito bom”, diz Ross Anderson, professor de engenharia de segurança da Universidade de Cambridge. Embora as senhas e os PINs não sejam obrigatórios em dispositivos com iOS ou Android, a menos que você use Face ID, Touch ID ou um scanner de íris, configurar um é apenas um movimento sensato a fazer. Nem que seja pelo fato de que o PIN é a última defesa antes que alguém possa acessar seu telefone.
Em dispositivos iOS, a senha é criptografada e armazenada dentro do processador no que a Apple chama de ‘enclave seguro’. O grande jardim de criptografia da Apple é o que levou à briga de alto perfil entre a Apple e o FBI quando a empresa se recusou a construir uma porta dos fundos de criptografia para seus dispositivos em 2016. A Apple não tem como visualizar nada armazenado no enclave ou editá-lo . Quando você insere sua senha, o iOS pergunta ao enclave se o que você inseriu corresponde ao que está em sua base de conhecimento, concedendo a você a entrada, se for o caso. Ninguém pode acessar a senha por causa de onde ela está armazenada.
Os fabricantes de Android só recentemente começaram a armazenar dados confidenciais em um enclave. Em 2019, 89% dos telefones Android tinham um chip de hardware seguro para armazenar dados, de acordo com um relatório da Counterpoint Research. Se não estiver armazenado no enclave, provavelmente será armazenado em algum lugar do software, que, segundo Anderson, pode ser quebrado se o invasor estiver motivado o suficiente.
As chances são de que um hacker tenha acesso imediato ao seu rosto, impressão digital ou íris. E mesmo que o fizessem, eles não precisariam de sua biometria para acessar seu telefone, tudo de que precisam é sua senha. É por isso que é ainda mais importante garantir que a última defesa do smartphone seja uma boa. Então, como você tem certeza de que sua senha ou PIN é o mais seguro possível?
Em um estudo realizado em 2012 , Anderson descobriu que a maioria das pessoas usa PINs que representam datas, anos, dígitos repetidos e até mesmo PINs dignos de risadinhas envolvendo os dígitos seis e nove. “As pessoas tendem a escolher alfinetes que correspondem às datas de nascimento. Se você vê alguém com um filho de 12 anos, um PIN razoável para tentar pode ser 2008, e depois 2007 e depois 2009,” acrescenta Anderson. “As pessoas também tendem a escolher alfinetes que são fáceis de colocar rapidamente pelo toque, como 1232 ou 7898.”
Portanto, evitar os números PIN e senhas mais comuns é a maneira mais sensata de tornar seu telefone mais seguro. Isso inclui não vinculá-lo a algo fácil de adivinhar, como datas de nascimento. E embora você possa esperar que as senhas de seis dígitos sejam mais seguras do que as senhas e PINs de 4 dígitos, esse pode não ser o caso.
Pesquisadores da Ruhr University, Bochum, do Max Planck Institute for Security and Privacy e da George Washington University, descobriram que as senhas de seis dígitos eram apenas um pouco mais seguras do que as senhas de 4 dígitos e, em alguns casos, eram mais fáceis de adivinhar. A pesquisa será publicada ainda este ano no Simpósio IEEE sobre Segurança e Privacidade. Os pesquisadores especulam que a razão pela qual os PINs de 6 dígitos são apenas marginalmente mais seguros do que os de 4 dígitos é porque a sequência é mais longa e, portanto, as pessoas não querem gastar muito esforço nisso. Eles presumem, por causa de seu comprimento, que o PIN já é seguro o suficiente.
Quanto às senhas, bem, o incômodo de inserir uma string alfanumérica forte e longa em um pequeno teclado de smartphone poderia simplesmente impedir as pessoas de escolher algo mais seguro. Na realidade, ninguém gostaria de passar vários segundos durante o dia digitando uma senha longa que pode ser mais forte do que um PIN, simplesmente porque levaria muito tempo. Angela Sasse, professora de Segurança Centrada no Homem na Ruhr University Bochum e na University College London diz que o esforço com cada caractere adicional e cada alternância para números e símbolos aumentará o tempo que leva. Um usuário ficaria tão frustrado que você voltaria para um código PIN de qualquer maneira.
Nunca use uma senha padrão
Os usuários do Android podem escolher uma senha padrão para desbloquear o telefone, em vez de uma senha, uma senha ou um PIN. Mas descobriu-se que essa é a maneira menos segura de bloquear seu telefone.
Em um artigo publicado na Proceedings of the Annual Computer Security Applications Conference, os pesquisadores descobriram que quando os participantes assistiam a um vídeo de alguém entrando em um padrão para desbloquear seu telefone apenas uma vez, eles eram capazes de memorizá-lo e replicá-lo 64% das vezes. Isso subia para 80% se o participante assistisse mais vezes. O estudo replicou um método comum de cópia de senhas, chamado de navegação no ombro, quando um invasor observa alguém inserir sua senha discretamente.
Os autores especulam que isso se deve ao fato de um padrão gráfico ser mais fácil de memorizar do que um conjunto de números aleatórios. Mas se você realmente deve usar um padrão, então existem alguns truques que você pode usar para ter certeza de que é um padrão seguro, como começar de diferentes posições.
“Os padrões são os menos seguros. E há algo chamado viés de seleção. Assim, por exemplo, foi observado que os usuários sempre começam do canto superior esquerdo e isso ajuda o invasor a adivinhar o padrão correto ”, explica Maximilian Golla, pesquisador de segurança do Instituto Max Planck de Segurança e Privacidade.
Golla explica que muitas pessoas escolhem a senha padrão porque é fácil de lembrar, o mesmo motivo pelo qual as pessoas fazem padrões em chaves como ‘2580’ ao usar um código PIN ou uma senha. “Basicamente, oferece uma camada adicional de informações. Mas é uma má ideia, porque também o torna previsível e fácil de observar em ataques de surfe no ombro ”, explica.
Sasse também aponta que usar todos os nós em uma grade padrão nem sempre a torna mais segura. Duas das listas de senhas de padrão mais comuns de Golla, por exemplo, usam todos os nós disponíveis. “Basicamente, as pessoas desenham letras ou números. Portanto, desenhar um padrão que não seja um número ou uma letra é bom porque esses são os mais comuns ”, acrescenta Sasse. Outro problema é que, com os desbloqueios de padrão, as marcas de borrão geralmente podem dar aos invasores uma ideia de onde você moveu o dedo na tela.
Quão segura é a biometria?
Tanto no iOS quanto no Android, os métodos de autenticação biométrica agem apenas como uma forma de os usuários desbloquearem seus dispositivos mais rapidamente do que inserir continuamente senhas e PINs. E, embora sejam geralmente um meio eficaz de desbloquear o telefone, não são a principal defesa.
“Face ID ou Touch ID são certamente técnicas de autenticação fortes em comparação com as abordagens básicas de memorização que você obteria como padrão em todos os dispositivos”, diz Steve Furnell, professor de segurança da informação na Universidade de Plymouth. “O fato é que, em todos esses casos, você ainda tem o segredo memorizado como sua técnica de desbloqueio de autenticação subjacente.”
Dito isso, alguns dos métodos de desbloqueio baseados em biometria ainda são mais fáceis de quebrar do que outros. Portanto, é importante escolher um dispositivo que tenha uma forma mais segura de desbloquear o telefone.
Sensores de impressão digital
Embora a Apple tenha descartado o sensor de impressão digital em seus dispositivos iOS nos últimos anos, a Juniper Research disse em 2018 que 95% dos telefones tinham um sensor de impressão digital. A empresa espera que esse valor caia para 90% até 2023 – uma fatia ainda considerável. Mas quão seguro é realmente?
Existem alguns tipos principais de tecnologia de sensor de impressão digital usados em smartphones hoje, mas nem todos são tão seguros quanto uns aos outros. O sensor ultrassônico de impressão digital da Samsung, por exemplo, que cria uma imagem 3D de sua impressão digital usando ondas ultrassônicas, é considerado a forma mais segura de sensor e fica embaixo da tela de seus telefones da série S10 mais recentes. Mas o sensor pode ter problemas com alguns tipos de protetor de tela, diz Golla. “Se você usar um protetor de tela, como uma película na tela sensível ao toque, o sensor fica irritado e o treinamento não funciona”, explica. “O resultado final é o sensor aceitando todas as impressões digitais possíveis.”
A Apple usa sensores capacitivos de impressão digital em seu sistema Touch ID, que traçam as saliências de seu dedo em vez de fazer uma cópia 2D de sua impressão. A empresa afirma que há uma chance em 50.000 de que a impressão digital de outra pessoa desbloqueie seu telefone.
Com qualquer sensor de impressão digital, no entanto, Sasse diz que alguém pode facilmente colher sua impressão digital em uma superfície e, em seguida, colocá-la no sensor para desbloquear o dispositivo. E pesquisadores da Universidade de Nova York e da Universidade Estadual de Michigan conseguiram até criar um conjunto de impressões originais artificiais, que correspondia às impressões digitais registradas em até 65%. É por isso que, diz Sasse, é importante treinar bem sua impressão digital.
Reconhecimento facial
Os fabricantes de dispositivos começaram a trocar sensores de impressão digital por tecnologia de reconhecimento facial nos últimos anos, em parte devido ao amor dos fabricantes de smartphones por telefones de tela inteira. Mas também é aparentemente mais seguro do que os sensores de impressão digital.
A Apple, por exemplo, afirma que há uma chance em um milhão de alguém desbloquear seu telefone usando o Face ID. Isso se deve em grande parte ao uso do reconhecimento facial 3D pela Apple, que analisa como as sombras se refletem em seu rosto quando treinadas em vários ângulos. Novamente, o reconhecimento facial 3D pode ser enganado se o invasor estiver motivado o suficiente. Estudos anteriores mostraram que o ID de rosto é enganado por máscaras 3D de alta qualidade. A probabilidade de isso acontecer, porém, é baixa.
Outro problema também pode ser a qualidade do software de reconhecimento facial. Se o seu telefone for treinado para imagens ruins, ele terá dificuldade para identificá-lo. Se o seu modelo não for muito bom – por exemplo, se você tiver muito brilho no rosto ao treinar o software de reconhecimento facial e o sistema permitir que você registre isso – então será mais fácil para um invasor superar a tecnologia .
Escaneamento de íris
A digitalização da íris é considerada a forma mais segura de autenticação biométrica porque nossas íris são mais exclusivas do que nossas impressões digitais. A tecnologia é usada em alguns dispositivos Samsung Galaxy, mas pode demorar mais para digitalizar uma íris porque o usuário precisa estar olhando diretamente para o sensor. Dito isso, é o método mais seguro de autenticação biométrica que existe.
A Samsung começou a combinar a digitalização da íris e a tecnologia de reconhecimento facial 3D para tornar o desbloqueio do telefone ainda mais conveniente. A varredura inteligente, por exemplo, examina sua íris com pouca iluminação se não puder reconhecer seu rosto e examina seu rosto com iluminação intensa se não puder reconhecer suas íris.
Ainda assim, Furnell faz questão de enfatizar que, embora a tecnologia de reconhecimento facial combinada com o escaneamento da íris seja um ótimo método de autenticação biométrica, no final do dia, ela está lá apenas para tornar a vida do usuário mais fácil. “Como está feito atualmente, você não pode evitar o fato de que seu segredo memorizado ainda é a chave definitiva para o seu dispositivo.”
É por isso que a melhor coisa a fazer para ter certeza de que seu dispositivo está seguro é certificar-se de que sua senha seja o mais forte possível. Não importa se você decide aproveitar as vantagens dos processos de autenticação biométrica. “Mesmo se argumentarmos que algo como o Face ID ou a tecnologia de impressão digital é milhares de vezes mais seguro do que um PIN básico, se você ainda tem a opção de contornar completamente isso com um PIN, então, na verdade, isso não está fornecendo mais segurança”. Furnell diz.