Publicação
Estudo de viabilidade da utilização de tecnologias biométricas comportamentais na autenticação do cidadão perante os serviços electrónicos do Estado
| Resumo: | Os processos de autenticação representam, em qualquer sistema, um ponto crítico que exige processos confiáveis, dado que são a base para o estabelecimento das relações de confiança que estão subjacentes aos privilégios atribuidos a cada utilizador. Tradicionalmente, estes processos baseiam-se na partilha de um segredo entre o utilizador e o sistema: a palavra chave. No entanto, diversos estudos mostram que os sistemas de código secreto apresentam diversas vulnerabilidades como a sua transmissibilidade que pode acontecer voluntariamente ou involuntariamente. Além disso, as palavras passe são, em si mesmo, uma contradição, já que têm que ser longas, complexas e mudadas com frequência para serem seguras, mas não o podem ser porque a capacidade humana de memorização é limitada, especialmente porque não deve haver reutilização de palavras chave e, cada vez mais, o utilizador é chamado a registar-se e a escolher uma palavra passe num número crescente de sistemas. A solução poderia passar pela exigência de apresentação de um determinado objecto que acrescenta um nível de segurança aos processos de autenticação, mas ainda assim não fica ultrapassada a questão da transmissibilidade. A solução parece ser a utilização de biometrias que, avaliando o que o utilizador é, ao invés daquilo que sabe ou possui, se apresentam como um recurso valioso para o incremento da segurança da autenticação. Os serviços prestados pelo Estado aos cidadãos apresentam-se cada vez mais como estratégicos para o desenvolvimento do país, aumentando a produtividade dos serviços e dos utentes, ao permitir a diminuição do número de funcionários públicos e do tempo gasto pelos utentes em filas nas repartições públicas. No entanto, por representarem simultaneamente uma forma de relação crítica entre o cidadão e o Estado e uma porta de entrada nos sistemas estatais, estes sistemas requerem processos de autenticação ainda mais confiáveis. No entanto, a necessária universalidade dos serviços prestados impõe ainda mais exigências aos processos adoptados, que não podem exigir hardware, software ou competências específicas. Este doutoramento tem como objectivos demonstrar a existência da necessidade de utilização de tecnologias biométricas comportamentais nos serviços electrónicos do Estado, demonstrar a existência de algoritmos compatíveis entre si e com e com as diversas plataformas de acesso lógico aos serviços, demonstrar a possibilidade de integração com os sistemas existentes e, após avaliação, concluir a existência de níveis satisfatórios de qualidade dos algoritmos criados, nomeadamente no que respeita ao nível de segurança (precisão e dificuldade de transmissão do segredo), nível de aceitação da tecnologia e nível de conforto (facilidade de utilização, de memorização do segredo e da sua troca regular). Estes objectivos resultam, na sua globalidade, na demonstração da viabilidade da utilização de biometrias comportamentais para a autenticação do cidadão perante os serviços electrónicos do Estado e foram alcançados através de diversas metodologias de investigação, de acordo com a sua adequação para cada objectivo: estudo-de-caso, prova de conceito, amostragem aleatória e sondagem. Os resultados apresentados demonstram, por um lado, a necessidade de proceder a melhorias substanciais nos processos de autenticação existentes e, por outro, a existência de algoritmos biométricos comportamentais que satisfazem os requisitos impostos, em particular uma combinação de keystroke dynamics, uma biometria que avalia a forma como um texto é digitado, com pointer dynamics, uma nova biometria proposta que recorre à avaliação comportamental da forma como é efectuada uma autenticação gráfica. O sistema proposto apresenta níveis de fiabilidade satisfatórios (embora exista margem para melhorias nos algoritmos), dispõe de processos automáticos que reduzem significativamente as vulnerabilidades dos sistemas actuais, é facilmente integrável com os sistemas existentes, tem uma boa aceitação pelos utentes, respeita a actual legislação nacional e não está abrangido por nenhuma patente conhecida na Europa ou nos Estados Unidos da América. |
|---|---|
| Autores principais: | Magalhães, Paulo Sérgio Tenreiro |
| Ano: | 2009 |
| País: | Portugal |
| Tipo de documento: | tese de doutoramento |
| Tipo de acesso: | acesso aberto |
| Instituição associada: | Universidade do Minho |
| Idioma: | português |
| Origem: | RepositóriUM - Universidade do Minho |
| Resumo: | Os processos de autenticação representam, em qualquer sistema, um ponto crítico que exige processos confiáveis, dado que são a base para o estabelecimento das relações de confiança que estão subjacentes aos privilégios atribuidos a cada utilizador. Tradicionalmente, estes processos baseiam-se na partilha de um segredo entre o utilizador e o sistema: a palavra chave. No entanto, diversos estudos mostram que os sistemas de código secreto apresentam diversas vulnerabilidades como a sua transmissibilidade que pode acontecer voluntariamente ou involuntariamente. Além disso, as palavras passe são, em si mesmo, uma contradição, já que têm que ser longas, complexas e mudadas com frequência para serem seguras, mas não o podem ser porque a capacidade humana de memorização é limitada, especialmente porque não deve haver reutilização de palavras chave e, cada vez mais, o utilizador é chamado a registar-se e a escolher uma palavra passe num número crescente de sistemas. A solução poderia passar pela exigência de apresentação de um determinado objecto que acrescenta um nível de segurança aos processos de autenticação, mas ainda assim não fica ultrapassada a questão da transmissibilidade. A solução parece ser a utilização de biometrias que, avaliando o que o utilizador é, ao invés daquilo que sabe ou possui, se apresentam como um recurso valioso para o incremento da segurança da autenticação. Os serviços prestados pelo Estado aos cidadãos apresentam-se cada vez mais como estratégicos para o desenvolvimento do país, aumentando a produtividade dos serviços e dos utentes, ao permitir a diminuição do número de funcionários públicos e do tempo gasto pelos utentes em filas nas repartições públicas. No entanto, por representarem simultaneamente uma forma de relação crítica entre o cidadão e o Estado e uma porta de entrada nos sistemas estatais, estes sistemas requerem processos de autenticação ainda mais confiáveis. No entanto, a necessária universalidade dos serviços prestados impõe ainda mais exigências aos processos adoptados, que não podem exigir hardware, software ou competências específicas. Este doutoramento tem como objectivos demonstrar a existência da necessidade de utilização de tecnologias biométricas comportamentais nos serviços electrónicos do Estado, demonstrar a existência de algoritmos compatíveis entre si e com e com as diversas plataformas de acesso lógico aos serviços, demonstrar a possibilidade de integração com os sistemas existentes e, após avaliação, concluir a existência de níveis satisfatórios de qualidade dos algoritmos criados, nomeadamente no que respeita ao nível de segurança (precisão e dificuldade de transmissão do segredo), nível de aceitação da tecnologia e nível de conforto (facilidade de utilização, de memorização do segredo e da sua troca regular). Estes objectivos resultam, na sua globalidade, na demonstração da viabilidade da utilização de biometrias comportamentais para a autenticação do cidadão perante os serviços electrónicos do Estado e foram alcançados através de diversas metodologias de investigação, de acordo com a sua adequação para cada objectivo: estudo-de-caso, prova de conceito, amostragem aleatória e sondagem. Os resultados apresentados demonstram, por um lado, a necessidade de proceder a melhorias substanciais nos processos de autenticação existentes e, por outro, a existência de algoritmos biométricos comportamentais que satisfazem os requisitos impostos, em particular uma combinação de keystroke dynamics, uma biometria que avalia a forma como um texto é digitado, com pointer dynamics, uma nova biometria proposta que recorre à avaliação comportamental da forma como é efectuada uma autenticação gráfica. O sistema proposto apresenta níveis de fiabilidade satisfatórios (embora exista margem para melhorias nos algoritmos), dispõe de processos automáticos que reduzem significativamente as vulnerabilidades dos sistemas actuais, é facilmente integrável com os sistemas existentes, tem uma boa aceitação pelos utentes, respeita a actual legislação nacional e não está abrangido por nenhuma patente conhecida na Europa ou nos Estados Unidos da América. |
|---|