Temos oficialmente um problema com senha. O usuário médio em 2015 tinha pelo menos 90 contas online, diz Dashlane, fabricante de um gerenciador de senhas popular. No Reino Unido, o número era 118. Nos EUA, colossais 130. Ainda mais preocupante, armazenamos muitos dados de login em nossos telefones e tablets (certamente, sou culpado disso), o que significa que qualquer pessoa com acesso a nossos telefones podem também acessar nossas contas.

Bloqueios com impressão digital (Touch ID para usuários de iPhone) prometiam ser nossa salvação. Eles são fáceis de usar e dependem de características exclusivas a cada um de nós. Nossas digitais também estão sempre conosco e não podem ser roubadas ou esquecidas. Além disso, a complexidade de um datilograma supostamente torna nossas impressões quase impossíveis de serem quebradas.

A realidade, no entanto, é bem diferente. Entre os vários motivos para não usar bloqueios com impressão digital, para mim, três se destacam:

Nº1 Sua impressão digital (e leitores) podem ser hackeados

Deixamos impressões digitais em todos lugares que vamos: em maçanetas de portas, em corrimões, xícaras e copos, em teclados, telas, fotos... Onde imaginar. Então, há muitos lugares onde os hackers podem colher essa senha supostamente indecifrável.

A Chaos Computer Club demonstrou isso já em 2008. Para protestar contra a proposta de um político alemão de implantar dados biométricos, o clube usou uma fotografia para recriar sua impressão digital. Em 2013, eles usaram látex para criar uma impressão falsa para abrir uma porta. Mais recentemente, a abordagem foi repetida com massinha e cola Elmer, mostrando como é fácil recriar impressões físicas.

Pior ainda, impressões digitais podem ser hackeadas virtualmente. Na convenção Black Hat 2015, em Las Vegas, alguns especialistas de segurança demonstraram alguns hacks para bloqueios de impressão digital. Eles criaram um aplicativo que imitava uma tela de desbloqueio que, quando usado pela vítima, poderia aprovar uma transação financeira. Eles carregaram previamente impressões digitais no telefone, permitindo o acesso. Eles mostraram que era relativamente fácil recriar uma impressão digital do arquivo usado para armazená-la. E eles invadiram o próprio leitor, permitindo que eles coletassem imagens de impressão digital sempre que eram usadas.

Nº2 Você pode alterar sua senha, não suas impressões digitais

Isso é tão básico e mesmo assim frequentemente negligenciado. Quando minha conta de email foi invadida há alguns anos, mudei minha senha e o problema acabou. Mas, se alguém hackear minha impressão digital, eles sempre a terão.

Pense no que isso significa. As impressões digitais são para sempre. Assim que os bandidos as tiverem, eles podem continuar usando ou vendendo para outros. Isso é especialmente perturbador ao considerar como muitas organizações governamentais coletam impressões digitais e o número crescente de firmas privadas que as utilizam para autenticação.

Nº3 A polícia não precisa da sua permissão para desbloquear um telefone com dados biométricos

É também importante lembrar que nem sempre estamos no controle da situação. Tudo que alguém precisa fazer para desbloquear seu telefone é pressionar seus dedos contra a tela.

Isso foi permitido nos EUA, onde um juiz concedeu uma ordem de busca a policiais em Glendale, Califórnia. A posição é que uma impressão digital é evidência física, similar a uma chave física, que pode ser reunida como evidência ou solicitada por ordem judicial. Além disso, impressões digitais estão prontamente disponíveis, pois são coletadas rotineiramente como parte de procedimentos policiais e jurídicos básicos. E como as impressões digitais são físicas e não testemunhos, elas não estão protegidas pela cláusula de autoincriminação da Quinta Emenda.

Não é assim com senhas e PINs. Forçar uma pessoa a mostrar algo em sua mente é testemunho e essa coerção é proibida. Grandes empresas de tecnologia (incluindo a AVG) usam um argumento semelhante sobre informações corporativas. Lutando contra o FBI em um impasse sem nenhuma resolução, em relação ao acesso ao telefone utilizado pelo terrorista de San Bernardino, a Apple usou o argumento jurídico de que o FBI estava forçando a Apple a se pronunciar  contra seus próprios interesses, algo que não seria permitido. O FBI desistiu do caso após pagar um terceiro para invadir o telefone. Embora contratar um hacker tenha sido eficaz, também foi muito caro e, por enquanto, é improvável que a maioria dos casos justifique tal investimento.

Ainda assim, é possível que as agências policiais possam forçar ou coagir os fabricantes a incluir “portas dos fundos” em dispositivos para coletar impressões digitais através de bloqueios de impressão digital.

Observação final sobre impressões digitais e segurança

Claro, eu não espero que as pessoas desistam de usar bloqueios de impressão digital. Eles são muito convenientes. Certo ou errado, no entanto, o poder do governo de coletar e armazenar informações sobre nossas vidas digitais está aumentando. O Integrated Automated Fingerprint Identification System (sistema automatizado e integrado de identificação de impressões digitais) do FBI contém dezenas de milhões de impressões não relacionadas a atividades criminosas, coletadas de militares, funcionários do governo e outros inocentes. E, de maneira geral, os arquivos do governo nem sempre são seguros. O vazamento de dados de 2015 no Departamento de Administração Pessoal dos EUA incluiu 5,6 milhões de impressões digitais, sugerindo que elas se tornaram mais uma coisa que pode ser hackeada e usada para violar nossa privacidade, nesse caso, por muito tempo.

Compartilhe essa história:


Tópicos relacionados:

Segurança

Gostou desse? Tente esses:

Pular para o conteúdo Pular para o menu