Autenticação fora de banda
A autenticação fora de banda aumenta a segurança ao utilizar um canal de comunicação separado, ou "banda", para autenticação do canal ou dispositivo principal que está sendo usado. Isso se opõe à "autenticação em banda": ao enviar credenciais pelo mesmo canal em banda, um canal independente e separado "fora de banda" é usado para uma etapa adicional de autenticação.
Em termos mais simples, fora de banda significa que a autenticação é independente do dispositivo; portanto, mesmo que um dispositivo esteja comprometido, a autenticação não estará.
A solução de biometria facial do iProov aproveita a verdadeira autenticação fora de banda. O processo de autenticação ocorre na nuvem e não no próprio dispositivo do usuário. Isso separa o plano de autenticação do plano do dispositivo.
Os benefícios dessa arquitetura incluem:
- Proteção contra dispositivos comprometidos: Se um invasor obtiver acesso total ao dispositivo de um usuário, o processo de autenticação fora de banda permanecerá seguro, pois a autenticação é processada independentemente do dispositivo; ela é isolada desse dispositivo comprometido.
- Evitando vulnerabilidades em banda: A autenticação em banda oferece menos segurança do que se imagina. Por exemplo, se uma organização enviar senhas de uso único (OTPs) para aquele comprometido dispositivo móvel comprometido para autenticar um indivíduo, o código OTP não está realmente fornecendo nenhuma segurança adicional. O malfeitor pode copiar as OTPs de e-mail, autenticador ou SMS geradas nesse dispositivo porque elas são enviadas para o dispositivo ao qual o fraudador já tem acesso. O acesso ao dispositivo concede acesso à OTP. Essa é uma vulnerabilidade crítica.
- Conveniência para o usuário final: A autenticação biométrica baseada na nuvem permite que você forneça uma verdadeira autenticação fora de banda sem exigir o uso de vários dispositivos. Isso maximiza a conveniência para o usuário em comparação com outros fluxos de usuário; imagine que alguém digite a senha no desktop, mas não tenha o telefone com ele (ou perca totalmente o telefone) - ele está completamente bloqueado do processo de autenticação nesse momento, o que diminuirá as taxas de sucesso.
Vulnerabilidades cruciais permanecem se todos os fatores de autenticação ainda estiverem centralizados no mesmo dispositivo. Por exemplo, se um usuário está comprando algo por meio de um aplicativo móvel e o provedor do aplicativo envia um código SMS para esse dispositivo móvel para verificar a compra, o código SMS não está, na verdade, fornecendo nenhuma segurança adicional - o código está sendo enviado para o mesmo dispositivo e, portanto, está "dentro da banda". Se o dispositivo tiver sido comprometido, a OTP não terá valor.
O iProov presume que o dispositivo não é confiável e conclui a autenticação de forma segura e privada na nuvem, de modo que é independente do dispositivo que está sendo usado. Mesmo que um agente mal-intencionado tivesse acesso total ao dispositivo de outra pessoa, o processo de autenticação permaneceria seguro.
As organizações devem adotar uma abordagem abrangente e em várias camadas para a segurança. O cenário ideal é descentralizar os sinais de identidade em várias fontes confiáveis, combinando a autenticação fora de banda com a biometria e outros sinais coletados independentemente de diferentes canais sob o monitoramento de um centro de operações de segurança.