Autenticação fora de banda
A autenticação fora de banda aumenta a segurança ao utilizar um canal de comunicação separado, ou "banda", para autenticar a partir do canal ou dispositivo principal que está a ser utilizado. Isto opõe-se à "autenticação em banda": enviando credenciais através do mesmo canal em banda, é utilizado um canal independente "fora de banda" para um passo de autenticação adicional.
Em termos mais simples, fora de banda significa que a autenticação é independente do dispositivo - por isso, mesmo que um dispositivo esteja comprometido, a autenticação não está.
A solução de biometria facial da iProov utiliza uma verdadeira autenticação fora de banda. O processo de autenticação ocorre na nuvem e não no próprio dispositivo do utilizador. Isto separa o plano de autenticação do plano do dispositivo.
As vantagens desta arquitetura incluem:
- Proteção contra dispositivos comprometidos: Se um atacante obtiver acesso total ao dispositivo de um utilizador, o processo de autenticação fora de banda permanece seguro, uma vez que a autenticação é processada independentemente do dispositivo; está isolada desse dispositivo comprometido.
- Evitar vulnerabilidades em banda: A autenticação em banda oferece menos segurança do que se pensa. Por exemplo, se uma organização envia senhas de uso único (OTPs) para aquele comprometido dispositivo móvel comprometido para autenticar um indivíduo, o código OTP não está realmente a fornecer qualquer segurança adicional. O mau ator pode copiar as OTPs de correio eletrónico, autenticador ou SMS geradas nesse dispositivo porque são enviadas para o dispositivo a que o fraudador já tem acesso. O acesso ao dispositivo dá acesso à OTP. Esta é uma vulnerabilidade crítica.
- Conveniência para o utilizador final: A autenticação biométrica baseada na nuvem permite-lhe fornecer uma verdadeira autenticação fora de banda sem exigir a utilização de vários dispositivos. Isto maximiza a conveniência para o utilizador em comparação com outros fluxos de utilizador; imagine que alguém introduz a sua palavra-passe no seu computador de secretária, mas não tem o telemóvel consigo (ou perde o telemóvel por completo) - está completamente excluído do processo de autenticação neste momento, o que diminuirá as taxas de sucesso.
Continuam a existir vulnerabilidades cruciais se todos os factores de autenticação continuarem a estar centralizados no mesmo dispositivo. Por exemplo, se um utilizador estiver a comprar algo através de uma aplicação móvel e o fornecedor da aplicação enviar um código SMS para esse dispositivo móvel para verificar a compra, o código SMS não está, na verdade, a fornecer qualquer segurança adicional - o código está a ser enviado para o mesmo dispositivo e está, portanto, "dentro da banda". Se o dispositivo tiver sido comprometido, a OTP não tem qualquer valor.
O iProov parte do princípio de que o dispositivo não é de confiança e conclui a autenticação de forma segura e privada na nuvem, pelo que é independente do dispositivo que está a ser utilizado. Mesmo que um mau ator tenha acesso total ao dispositivo de outra pessoa, o processo de autenticação permanece seguro.
As organizações devem adotar uma abordagem abrangente e multi-camadas à segurança. O cenário ideal é descentralizar os sinais de identidade em várias fontes de confiança - combinando a autenticação fora de banda com a biometria e outros sinais recolhidos independentemente de diferentes canais sob a monitorização de um centro de operações de segurança.