Introdução
O mundo das criptomoedas tem visto uma disputa pela propriedade de carteiras que vários grupos de pessoas afirmam serem carteiras oficiais de grandes marcas. Essas controvérsias apontam para um fato importante: nomes ou logotipos impressionantes não importam quando pessoas não autorizadas podem ter acesso à carteira.
A marca não é a sensação de segurança real, mas sim verificar quem detém as chaves reais dos recursos digitais. Essas soluções combinam segurança blockchain e características biologicamente únicas, como impressões digitais, expressão facial e reconhecimento de voz.
Em vez de apenas integrar a biometria nas carteiras atuais, trata-se de uma mudança de paradigma na forma como definimos a propriedade e o controlo dos bens digitais.
As transações em blockchain são irreversíveis, o que aumenta os riscos de segurança de roubo ou duplicação, mesmo de tokens de segurança físicos.
Vulnerabilidades de autenticação tradicional
As palavras-passe tradicionais podem ser obtidas adivinhando-as, usando ataques de força bruta ou comprando-as a cibercriminosos a preços baixos. As perguntas de segurança também não são adequadas, pois as plataformas de redes sociais oferecem muitas informações que podem ser pesquisadas por atacantes para obter detalhes pessoais.
A criptomoeda é definitiva, pois, ao contrário dos sistemas financeiros tradicionais, as transações são reversíveis ou as contas podem ser recuperadas. É impossível recuperar os ativos digitais depois que eles são transferidos para locais diferentes, pois não podem ser restaurados por nenhum departamento de atendimento ao cliente.
Essa irreversibilidade requer técnicas de autenticação que sejam impossíveis de esquecer, perder ou entregar a pessoas erradas. A autenticação biométrica controla essas dificuldades ao vincular a acessibilidade a uma característica biológica impermanente.
Arquitetura de três camadas
Camada de captura e verificação biométrica
A primeira camada é a camada de captura e verificação biométrica, que funciona em conjunto com as outras duas camadas. O sistema captura informações biológicas individuais ao interagir com sensores ou câmaras.
Mais importante ainda, os dados biométricos não processados nunca existem na sua forma bruta. Em vez disso, são convertidos diretamente em modelos matemáticos que podem simbolizar as peculiaridades de cada amostra biométrica.
Conversão de modelo para chave
O modelo biométrico não é a chave privada em si, mas é o ponto de acesso a ela. Essa divisão é necessária, pois as digitalizações biométricas podem mudar até certo ponto em tentativas repetidas, enquanto as chaves criptográficas devem ser sempre precisas.
Integração com blockchain
A terceira camada interage com a blockchain usando os dados biométricos para descriptografar as chaves privadas, mas sem interferir na identidade do utilizador. Uma vez autenticada, a carteira prepara as transações com chaves privadas e transmite-as através da rede, onde são confirmadas.
Essa camada não depende do sistema biométrico e tem todas as propriedades de segurança padrão da blockchain com uma camada de autenticação adicional.
Comparação de modalidades biométricas
Reconhecimento de impressões digitais
Os sensores óticos e capacitivos modernos têm taxas de falsa aceitação inferiores a 0,001% ou menos de 1 em cada 100.000 tentativas por uma pessoa não autorizada.
Vantagens:
- •Rápido e reconhecível
- •Fácil de integrar em aplicações móveis
- •Compatível com carteiras de hardware
- •Já familiar aos utilizadores através dos smartphones
Limitações:
- •O reconhecimento pode ser comprometido por danos físicos, como queimaduras ou cortes
- •Podem ocorrer erros de digitalização devido a condições de pele seca ou húmida
Sistemas de reconhecimento facial
Os sistemas de reconhecimento facial comparam várias características faciais e o seu posicionamento entre si. Nas aplicações atuais, são utilizados sensores de profundidade e tecnologia infravermelha para impedir tentativas de falsificação por meio de fotografias ou vídeos.
Vantagens:
- •Prático, já que a maioria dos aparelhos tem câmaras
- •Processo não invasivo e intuitivo
Limitações:
- •Luz difusa, máscaras ou alterações faciais drásticas podem afetar a precisão
- •Questões de privacidade relacionadas com o armazenamento de dados faciais
- •Possíveis aplicações de vigilância
Reconhecimento da íris
Os padrões abrigam cerca de 250 características diferentes, em comparação com 40-60 nas impressões digitais. Essa complexidade significa uma precisão muito alta, em que a taxa de falsas aceitações é de uma em cada 1,2 milhões de digitalizações.
Ao gerir ativos de alto valor, onde a segurança é mais importante do que a conveniência, o scanner de íris oferece o mais alto nível de autenticação.
Limitações:
- •Os scanners de íris especializados são mais caros
- •Não é comum em dispositivos de nível de consumidor
Melhore a segurança da sua carteira hoje mesmo
Atualize para a autenticação biométrica e proteja os seus ativos digitais com tecnologia de ponta.
Processo de desenvolvimento
Planeamento da arquitetura de segurança
Antes de começar a desenvolver soluções de criptomoeda biométrica, é preciso estar sempre atento à segurança em todas as etapas do desenvolvimento. Os ativos do tesouro de clientes empresariais estão expostos a vários riscos em comparação com os investidores individuais.
As principais considerações incluem:
- •A autenticação biométrica vai descriptografar as chaves privadas guardadas localmente?
- •Ele vai autenticar o acesso a esquemas de assinatura de limiar distribuídos?
- •Vantagens do armazenamento local: velocidade
- •Vantagens dos sistemas distribuídos: recursos de recuperação quando os dispositivos são destruídos
Protocolos de proteção de dados
Segurança específica da plataforma:
- •iOS: Usa o Secure Enclave
- •Android: BiometricPrompt
- •Carteiras de hardware: Hardware personalizado com SDKs de sensores
Teste e validação
As carteiras sofisticadas têm detectores de vivacidade para identificar representações biológicas verdadeiras, em oposição a duplicatas inanimadas. Os testes de penetração visam especificamente os fluxos de autenticação biométrica.
Os cenários de teste incluem:
- •Tentativas de manipulação do sensor
- •Métodos de contornar a autenticação
- •Simulação de erros do sensor
- •Cenários de comprometimento de dispositivos
- •Teste em dispositivos com acesso root
Testar a precisão entre diferentes grupos de utilizadores garante acesso justo para todos.
Sabia que? As informações biométricas não devem ser transferidas para outros servidores, guardadas em backups na nuvem ou exibidas em análises. O princípio básico é que os dados biométricos devem ser armazenados na secção segura dos dispositivos dos utilizadores.
Requisitos de conformidade regulamentar
Permanência dos dados biométricos
Enquanto as palavras-passe e os PINs podem ser alterados, os identificadores biométricos são permanentes ao longo da vida de um indivíduo. Essa permanência torna a conformidade com os regulamentos um aspeto crítico.
Regulamentos estaduais dos EUA
Requisitos da Lei de Privacidade de Informações Biométricas de Illinois:
- •É necessário consentimento por escrito
- •Dados biométricos não podem ser vendidos
- •Existem regulamentos semelhantes no Texas e em Washington
- •A Lei de Direitos de Privacidade da Califórnia também abrange informações biométricas
Dica: as leis estaduais mais rigorosas garantirão cobertura para todos os utilizadores dos EUA. Os modelos biométricos devem ser armazenados em dispositivos dentro do país.
Vantagens de segurança em relação aos métodos tradicionais
Resistência ao phishing
As campanhas de phishing são a forma mais comum de roubo de criptomoedas, porque os atacantes enganam as vítimas para que estas divulguem as suas credenciais. Esses ataques são ineficazes contra carteiras biométricas, pois os atacantes remotos não conseguem roubar impressões digitais ou digitalizações da íris à distância.
Os ataques devem ser físicos, reduzindo instantaneamente o número de ameaças de milhões de possíveis atacantes globais para aqueles com acesso físico.
Mitigação de ameaças internas
Os funcionários com acesso ao sistema podem tentar desviar ativos quando recebem direitos de acesso. A autenticação biométrica gera registos de auditoria de presença física.
Os requisitos executivos de reconhecimento facial para transações garantem a presença física, aumentando significativamente os riscos de ameaças internas.
Aplicações de planeamento patrimonial
Os ativos podem ser programados para serem liberados após a autenticação simultânea de vários beneficiários pretendidos. A verificação de impressão digital combinada com chaves com bloqueio por tempo possuídas por advogados garante que nenhuma das partes possa agir independentemente em relação aos ativos do parceiro falecido.
Desafios de implementação
Fragmentação de dispositivos
Alterações naturais podem ser acomodadas usando modelos adaptativos que são atualizados gradualmente após a autenticação bem-sucedida e identificam padrões de atividades suspeitas.
Desafio: Não dá para exigir biometria de alta segurança em todas as transações, mas segurança baixa não é aceitável para transações de alto valor.
Comparação das capacidades dos dispositivos
| Tipo de dispositivo | Qualidade do sensor | Características biométricas |
|---|---|---|
| Smartphones topo de gama | Sensores sofisticados | Múltiplas modalidades |
| Smartphones de gama média | Sensores padrão | Funcionalidade básica |
| Smartphones de gama baixa | Sensores simples | Capacidade limitada |
| Carteiras de hardware | Módulos opcionais | Segurança personalizável |
Considerações sobre ameaças futuras
Vetores de ataque emergentes
As tentativas de contornar a autenticação biométrica continuam a desenvolver-se sem sinais de parar. Biometria derivada artificialmente e deepfakes, juntamente com novas formas de falsificação, desafiam as carteiras que exigem uma verificação fiável da verdadeira identidade humana.
Requisitos de resistência quântica
As futuras carteiras de criptomoedas biométricas precisam de criptografia resistente à computação quântica para manter a segurança a longo prazo contra ameaças computacionais em evolução.
Evolução regulatória
O ambiente regulatório está a tornar-se mais rigoroso e menos flexível. A viabilidade a longo prazo requer carteiras de criptomoedas biométricas com validação de identidade, em vez de autenticação baseada em conhecimento ou posse.
Importante: Este modelo oferece serviços de segurança escaláveis, aprimorados pelo valor que protegem, representando uma inovação fundamental na proteção de ativos digitais num ambiente de ameaças em constante mudança.
