Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.



Quem assiste filme de ficção científica já viu portas se abrindo com comandos de voz e terminais operados com autenticação pela íris do olho ou pelas digitais da mão. Na prática, sistemas biométricos constantemente apresentam falhas, sejam porque não reconhecem alguém que devia ter autorização ou porque não conseguem diferenciar falsificações da pessoa real.



O último dispositivo que apresentou essas falhas foi o Samsung Galaxy S8. A equipe alemã do Chaos Computer Club (CCC), um dos grupos de pesquisa de segurança e informática mais antigos do mundo, revelou que é possível derrotar a autenticação por íris do Galaxy S8 com uma câmera de infravermelho, uma impressora a laser e uma lente de contato.



Além do sensor de íris, já existiam relatos de que a autenticação facial presente no aparelho da Samsung também apresentava problemas e podia ser burlada com uma foto simples. O CCC recomendou que usuários utilizem as senhas comuns e ignorem a biometria, caso queiram segurança.



Sacrifícios e compensações

Problemas na biometria não ocorrem apenas por limitações tecnológicas, mas também pelas decisões tomadas pelos engenheiros que precisam adequar a tecnologia às condições de uso do produto. Se uma solução biométrica for restritiva demais, ela pode não reconhecer a pessoa que de fato devia reconhecer. Isso seria péssimo: se você tivesse que tentar ler sua digital cinco ou seis vezes no seu celular, provavelmente acabaria achando mais rápido usar uma senha.



Infelizmente, o marketing faz questão de se apoiar na idealização das histórias de ficção científica, tentando nos convencer de que nada é sacrificado com a opção pela segurança biométrica. De certo modo, ela seria melhor em tudo; a Samsung descreve o reconhecimento de íris como "segurança total", por exemplo.



Senhas são sempre a solução?

A princípio, nada parece ser melhor do que as senhas. As senhas são um mecanismo simples, o que reduz as chances de falha na programação e adequação do recurso. As senhas são uma solução ideal, pelo menos enquanto você considerar apenas a proteção oferecida pelas senhas, e não o modo de uso.



Só que a falta de conveniência das senhas é em si um risco. Muitas pessoas se esquecem de suas senhas, o que exige a criação de mecanismos de recuperação de senha (e esses, sim, são sempre falhos). Além disso, usar senhas cansa; quando você começa a utilizar vários serviços que exigem senhas, a tendência é querer usar a mesma senha todas as vezes, e dificilmente você vai ter paciência para digitar uma senha longa em todos os serviços, o que também pode comprometer sua segurança.



É por isso que a biometria falha e senhas "não falham". Quando senhas falham, a culpa quase sempre é do utilizador, da recuperação de senhas ou de algo externo. Quando a biometria falha, a culpa é da tecnologia, porque ela transfere responsabilidade para quem cria o sistema de segurança.



Portanto, é verdade que a biometria falha e não oferece as mesmas garantias que as senhas. É importante ter noção disso. Mas é importante saber que as senhas não são uma bala de prata enquanto elas dependerem de seres humanos, que também falham.



Antes de partir para a biometria, porém, é importante é o tipo de ameaça (ou "ataque") que você tem receio de sofrer. Se você tem medo que alguém pegue seu aparelho de celular e coloque seu dedo nele enquanto você dorme, a biometria é uma péssima ideia. Mas, em um cenário de roubo, onde você pode ser coagido com violência a desbloquear seu aparelho, o método de autenticação escolhido não vai fazer diferença.



(Imagem: RBS TV)



Siga a coluna no Twitter em @g1seguranca.