Translate

sábado, 4 de dezembro de 2010

Sistemas de Autenticação

Olá Leitores,

Hoje vou falar sobre outros recursos de Autenticação existente nos sistemas de auto-atendimento. Esse post acaba servindo de adendo para aquele meu post que trata do uso de biometria no auto-atendimento.

Quem usa computador está bastante familiarizado com pelo menos um sistema de Autenticação, normalmente, usuário e senha. Em sistemas de auto-atendimento, em geral, não é muito usual o cliente digitar o nome de usuário. Se for um sistema de auto-atendimento bancário, nós podemos substituir o usuário pelos dados da conta do cliente, já que na maioria desses sistemas, as operações iniciam a partir da inserção do cartão do cliente que contém esses dados. Depois disso, o cliente insere sua senha, a qual somente ele e o sistema central do banco conhecem.

Essa arquitetura acima, atende a maioria dos sistemas de auto-atendimento. Fora da área bancária, você os encontra com ligeiras alterações, mas basicamente segue conforme isso aí. Ocorre porém, que na área bancária principalmente, somente a autenticação via usuário/senha não é bom o suficiente para manter sob controle o risco de fraudes, visto que, essa área é bastante visada pelos criminosos. Para situações assim, existem nesses sistemas, um segundo nível de autenticação, dos quais destaco: as Letras de Acesso, e sua principal variante, e TAN codes, com suas duas formas mais comuns de implementação.

Autenticação: Letras/Palavra de Acesso
A autenticação via Letras de Acesso, e sua variante, Palavra de Acesso, foi um dos primeiros sistemas de autenticação de segundo nível implementando nas aplicações de auto-atendimento dos bancos. Nesse esquema de autenticação, o sistema gera automaticamente para o usuário, um conjunto de letras ou uma palavra, o qual o usuário deverá decorar para uso futuro em conjunto com a senha, para uma ou mais modalidades de transação no sistema de seu banco. Também é comum que os clientes escolham essas letras ou palavra, a partir de um conjunto oferecido pelo sistema durante o cadastramento das mesmas.

Essa modalidade de implementação de um segundo nível de autenticação para os sistemas de auto-atendimento tem custo baixo, pois o cliente apenas terá que decorar essas letras ou palavra, a partir da impressão que o sistema faz das mesmas durante o cadastramento. Por isso mesmo, essa modalidade é encontrada em praticamente todos os sistemas de auto-atendimento bancário aqui no Brasil.

Autenticação: TAN code
A autenticação via código TAN (Transaction Authentication Number, ou Número de Autenticação da Transação), é largamente utilizada no Brasil, sendo encontrada em praticamente todos os bancos. Basicamente, trata-se de um número com quantidade variável de dígitos, o qual o cliente deve inserir no sistema para se autenticar, conjuntamente com os dados do cliente (oriundos do cartão), e de sua senha pessoal. É interessante frisar que, diferentemente da senha pessoal, o número TAN não é escolhido pelo cliente. Ele é gerado pelo sistema do banco, e fornecido para o cliente de alguma maneira (adiante eu detalho isso).  É também importante frisar que o número TAN tem um tempo de vida curto se comparado com as senhas pessoais, ou seja, você provavelmente não o utilizará mais de uma vez (cada banco tem adotado sua estratégia nesse quesito, mas os números PANs tem baixa "expectativa de vida"). Essas características acabam definindo várias formas de distribuição de números TAN por parte dos bancos. Aqui no Brasil, o mais comum é encontrar números TAN sendo distribuídos em forma de cartões, e também através de dispositivos tokens.

A forma mais comum de distribuição de números TAN, e adotada pela maioria dos bancos no Brasil, é através de cartões com um conjunto finito de números TAN, os quais o cliente utiliza por um certo período, após o qual, o cartão expira (aqueles números TAN expiram), e o banco volta a enviar um novo cartão com novos números para o cliente. Essa estratégia é largamente utilizada devido o seu baixo custo. A quantidade de números TAN contidos nesses cartões varia de banco a banco, e depende da quantidade de dígitos presentes no TAN. Para essa modalidade os números TAN são indexados, de modo que o sistema solicita o número TAN de acordo com sua posição (índice) no cartão. Abaixo segue um exemplo de cartão TAN, com números de quatro dígitos, indexados (na coluna vermelha encontram-se os índices):



Outra forma de distribuição de números TAN, é através de um dispositivo chamado Security Token. Esses dispositivos são pequenos e pessoais tanto quanto o cartão do cliente. Esses dispositivos geram automaticamente o número TAN para o cliente, ou após o cliente pressionar um botão. A geração do TAN através desses dispositivos também pode estar associada a um sistema simples de autenticação, como a entrada de uma senha no próprio dispositivo, ou ainda, a autenticação via fingerprint no próprio dispositivo. Esse tipo de implementação via token, permite o uso de números TAN com uma quantidade maior de dígitos o que, fatalmente, aumenta o tempo de vida do dispositivo. Abaixo segue um exemplo de dispositivo token:


O que virá a seguir?
Como falamos naquele meu post sobre biometria no auto-atendimento, os sistemas de autenticação biométrica já chegaram aos sistemas de auto-atendimento, e estão ganhando escala. Tecnologias como Palm Vein e Finger Vein são verdadeiras evoluções para os sistemas de autenticação em segundo nível pois, afinal,  o cliente não precisa carregar nenhum cartão adicional ou dispositivo. Precisa apenas posicionar a mão ou o dedo.

Agora, imaginem se o cliente chegasse em frente ao ATM, e sem demora fosse recebido com a seguinte frase gerada por um sistema gerenciador de propaganda do banco: "Bom dia Sr. Fagner, temos um produto especial para você...". Bom, isso seguramente seria um sonho para os gestores dos bancos, que sempre criam novos produtos para oferecer para seus clientes. Mas, para isso ser possível, precisamos avançar com algumas tecnologias que já estão em estudo/aplicação em vários lugares do mundo.

A tecnologia de autenticação através da íris é o que imagino que virá a seguir. Essa tecnologia vem sendo desenvolvida há bastante tempo, e está evoluindo para algo como aquilo que se vê no filme Minority Report, onde as pessoas são identificadas através da Íris até mesmo quando em movimento na rua. A universidade de Cambridge tem um painel permanente de discussão sobre o tema e, para quem tiver tempo para ler, verá que a coisa está sendo levada a sério, e os planos vão muito além disso que estamos falando, como por exemplo, identificar a pessoa lendo sua íris via satélite. Melhor não olhar para o céu ;)

Bem, é isso!!!

Um comentário:

Fábio Hideki Kawauchi disse...

Fala Fagner!
Como sempre, seus Posts estão realmente muito bons.
Sobre as identificaçãoes biométricas, certa vez ouvi dizer que a identificação via íris não é nem tão difícil, e que só não vinga porque é um método que poderia parecer aos usuários muito "invasivo". Imagine a aflição de aproximar um leitor de seu olho, imagine receber no olho um raio de sabe-se lá o que, agora imagine fazer tudo isso sem poder fechar o olho! A mim também parece um pouco incômodo, rs.

Mas quem sabe não é?
Abraços e se puder dá uma passada no meu novo Blog!
http://www.sistemadeanalises.com.br/

;)