Biometria comportamental percebe modo único de cada pessoa de usar o teclado e o mouse e avalia tentativas de fraude.
BioTracker evita ataques de terceiros ao identificar que operações no sistema estão sendo feitas por outra pessoa, mesmo que essa pessoa tenha conseguido roubar a senha do usuário oficial.
A máxima de que "cada um tem seu jeito" é o que orienta a tecnologia de segurança de biometria comportamental.
Desenvolvida em parceria entre Brasil e Canadá, a ferramenta identifica o modo único que cada usuário tem de digitar e de usar o mouse, e cria com essas informações uma espécie de 'login' comportamental.
É mais ou menos a mesma origem da análise da caligrafia, explica diretor sobre biometria comportamental.
"Comportamento é uma coisa legal, porque duas pessoas não têm comportamento igual", resume Marcelo Camelo, diretor de Novos Negócios da GlobalMinds, a companhia brasileira que ajudou a desenvolver o sistema. A parceira canadense, a PluriLock, criou os modelos matemáticos, e a verde-amarela desenvolveu a metodologia de implantação e testes.
"É mais ou menos a mesma origem da análise da caligrafia", explica o diretor. "um perito avalia se a pessoa parou no meio de uma letra, onde interrompe a escrita, se escreve continuamente. A partir disso, consegue ver se estão imitando uma assinatura ou se ela é legítima. Isso é comportamento também", compara.
A biometria comportamental coleta três tipos de dados: a duração do toque, que compreende quanto tempo a pessoa pressiona cada tecla; o intervalo entre uma tecla e outra - por exemplo, entre o 'o' e o 'i' na hora de digitar 'oi' -; e combinações comuns - ao digitar sequências comuns, como nome-de-usuário@email, por exemplo. A tecnologia é usada em dois programas complementares: o PluriPass, que avalia o momento do login, e o BioTracker, que faz a avaliação constante enquanto o usuário está no sistema.
Gráfico mostra ao administrador do sistema quem está conectado e se autenticação está ok - status 'normal', em verde.
A identificação é feita a partir de um perfil. Primeiro, o usuário senta junto a máquina que usa normalmente. Enquanto isso, o programa está coletando as informações sobre como é a interação com o teclado e com o mouse - em cerca de 3 mil caracteres já é possível criar o perfil. Camelo reforça que o conteúdo do usuário não é avaliado, apenas a dinâmica de digitação e cliques.
A partir daí o BioTracker fica constantemente avaliando se quem está usando a máquina é ainda o mesmo usuário. A autenticação contínua permite que a tecnologia funcione como uma inteligência artificial, que identifica mudanças de comportamento. Por exemplo, a forma de digitar em um notebook pode ser diferente da usada em um desktop. "O seu modo de digitar pode ter algumas variações, mas tem uma essência, que permite ao programa atribuir um perfil", explica Camelo.
"Se você machucou a mão, por exemplo, e digita com uma só, o sistema vai bloquear o acesso ao perceber que há uma diferença. Aí o administrador de rede pode liberar o acesso, já que você é você mas está com a mão machucada, e o sistema vai aprendendo continuamente com seu modo de uso", diz. O exemplo é real: em um teste, a empresa notou que um grupo de usuários sempre acabava bloqueado no mesmo momento do dia. "A gente descobriu que era o pessoal que em um determinado horário ia tomar café, e naquela hora estava digitando com uma mão só", lembra.
O teste a que ele se refere foi realizado entre setembro e dezembro do ano passado, com 50 tutores de um curso à distância oferecido pela Universidade Federal de Santa Catarina (UFSC). O índice de acerto da tecnologia, que começou a ser criada em 2010, foi de 95%.
Camelo conta que um dos projetos pilotos que a empresa implementa é com um site de comércio eletrônico baseado em São Paulo, em que o BioTracker é usado como ferramenta antifraude na hora de aprovar pagamentos com cartão de crédito.
Um cartão de senha, um token, podem ser furtados, clonados. Mas meu comportamento quando digito não consegue ser imitado, reforça Camelo.
"Quando você vai fazer compras no site, enquanto você preenche o cadastro, o sistema vai coletando suas informações de comportamento, no modo como você interage com o teclado, e aí ele identifica um perfil para você. Quando você for fazer uma nova compra ou quando vai autorizar o cartão, o sistema vai comparar se quem digitou os dados coincide com o perfil coletado antes", detalha.
"Se alguém roubou o número do cartão ou surrupiou seus dados, ou se você perdeu seus documentos, na hora que a pessoa for digitar usuário e senha, não vai bater com seu perfil comportamental", continua. O diretor destaca que a ferramenta garante segurança a quem vende e para quem compra.
"Essa é a parte mais legal: mesmo que eu tenha um cartão de senha, um token, outro dispositivo de segurança, essas coisas podem ser furtadas, copiadas. Mas meu comportamento quando digito ou navego com mouse não consegue ser imitado, é muito difícil", ressalta.
Quando a tecnologia identifica discrepâncias entre o perfil e a tentativa de uso, o BioTracker envia avisos aos administradores de rede, para que possam verificar o que está havendo. O usuário também pode acompanhar seu próprio perfil. Camelo ressalta que, caso haja bloqueio de sistema, o usuário não perde o conteúdo no qual estava trabalhando. Ele pode tentar fazer o login novamente e, se for autenticado pelo BioTracker, volta para o mesmo ponto em que estava antes de ter o acesso barrado.
Administrador recebe relatórios frequentes sobre problemas de autenticação que possam representar brechas de segurança.
"A gente costuma dizer que a biometria comportamental é uma camada adicional de segurança, que completa as demais. Ela não substitui nem joga fora investimentos anteriores, mas completa com uma coisa que não existe no mercado hoje", explica o diretor da GlobalMinds. Segundo Camelo, a tecnologia canadense-brasileira é a única patenteada, e a única "completa", uma vez que outras soluções semelhantes - como a americana AuthenWare ou a sueca BehavioSec, não combinam a criação do perfil com a análise contínua a e adaptação a variações no modo de interação.
CASES RELACIONADOS