0
0
A identificação digital é o foco de dois relatórios da Agência da União Europeia para a Cibersegurança (ENISA): uma análise da identidade auto-soberana (SSI) e um estudo dos principais ataques de apresentação facial.
A confiança na identidade de uma pessoa física ou jurídica tornou-se a pedra angular de nossas atividades online. Por isso, é essencial que a identidade digital seja mantida altamente segura para um acesso seguro a serviços financeiros, e-commerce, plataformas de entrega ou transporte, telecomunicações e serviços de administração pública.
Agência da UE para Cibersegurança, o diretor executivo, Juhan Lepassaar, afirmou que “Com a circulação implacável do vírus COVID-19 e a necessidade crescente de depender de serviços digitais, garantir a identificação eletrônica continua sendo um alvo crítico para alcançar a resiliência e a confiança do mercado único digital”.
Sob esta luz, é o propósito do regulamento da UE sobre serviços de identificação eletrônica e confiança, ou regulamento eIDAS,fornecer uma base comum para garantir transações eletrônicas entre cidadãos, empresas e autoridades públicas.
Um dos principais objetivos do regulamento eIDAS é garantir a identificação e autenticação eletrônica em serviços on-line transfronteiriços oferecidos nos Estados-Membros. As publicações de hoje apoiam a concretização desse objetivo do regulamento. Além disso, o regulamento também aborda a comprovação de identidade nos diferentes contextos em que a confiança nas identidades digitais é necessária e elabora em certificados qualificados para permitir outros métodos de identificação.
A área de identificação tem visto uma nova tendência surgir nos últimos anos nas tecnologias de identidade auto soberana também referidas como SSI. O relatório explica quais são essas tecnologias e explora seu potencial para alcançar maior controle dos usuários sobre suas identidades e dados, interoperabilidade transfronteiriça, reconhecimento mútuo e neutralidade tecnológica conforme exigido pela regulamentação do eIDAS.
O relatório sobre a prova remota de identidade baseia-se no relatório anterior Análise remota de identidade da ENISA, que faz uma análise dos diferentes métodos utilizados para realizar a prova de identidade remotamente. O novo relatório analisa os diferentes tipos de ataques de reconhecimento facial e sugere contramedidas. Também valida os controles de segurança introduzidos no relatório anterior e oferece novas recomendações sobre como mitigar ameaças identificadas.
Ataques de apresentação facial em métodos remotos de revisão de identidade
O que precisamos saber?
O processo de prova de identificação remota geralmente é realizado por uma webcam ou um dispositivo móvel. O usuário mostra seu rosto para produzir documentos oficiais, como carteiras de identidade legais ou passaportes.
No entanto, os criminosos criaram uma série de táticas para contornar a segurança desses sistemas e se passar por outra pessoa.
A análise apresentada no relatório publicado hoje identifica os diferentes métodos de revisão de identidade remota e explica as diferentes características dos principais ataques de apresentação facial conforme listado abaixo:
- ataques fotográficos com base na apresentação de evidências faciais de uma imagem de um rosto impresso ou exibido através da tela de um dispositivo.
- vídeo de ataque de replay do usuário geralmente consiste em colocar a tela do dispositivo do invasor na frente da câmera.
- Ataques de máscara 3D onde máscaras 3D são criadas para reproduzir os traços reais de um rosto humano e até mesmo incluir buracos nos olhos para enganar a detecção de vivacidade com base no olhar, piscando e movimento.
- ataques deepfake fazem uso de software de alavancagem capaz de criar um vídeo ou imagem sintética representando realisticamente outra pessoa. Suspeita-se que os atacantes tenham acesso a um amplo conjunto de dados contendo imagens ou um vídeo de seu alvo.
O que pode ser feito para evitá-los?
O estudo inclui recomendações e identifica os diferentes tipos de controles de segurança, que incluem:
- controles ambientais,como a definição de um nível mínimo de qualidade de vídeo
- controles de documentosde identidade, como verificar se um documento não está perdido, roubado ou expirado em bancos de dados relevantes
- detecção de ataque de apresentação, como verificar a profundidade do rosto do usuário para verificar se ele é tridimensional ou procurar inconsistências de imagem resultantes da manipulação do deepfake
- controles organizacionais,como seguir padrões da indústria.
Não há escolha ideal quando se trata da escolha das contramedidas para implementar. A melhor escolha continua sendo a que pertence ao tipo de negócio, ao perfil e ao número de usuários e ao grau de garantia que deseja alcançar.
O que é identidade auto-soberana (SSI)?
As tecnologias que se enquadram no nome da identidade auto-soberana (SSI) consistem em dar aos detentores de identidade maior controle sobre sua identidade. A principal vantagem da tecnologia SSI é que ela dá ao usuário maior controle sobre como sua identidade é representada a terceiros que dependem das informações de identidade. Mais especificamente, dá maior controle sobre as informações pessoais. Os usuários podem ter vários “identificadores descentralizados” emitidos para diferentes atividades e podem separar os atributos associados a cada identificador.
Essas identidades digitais descentralizadas podem ser usadas para apoiar pseudônimos para privacidade de identidade. A separação de atributos potencialmente privados da identidade digital é, portanto, ativada e o usuário pode selecionar os atributos a serem divulgados para garantir a privacidade dos outros atributos.
Recomendações
Uma série de elementos precisam ser considerados em relação à governança da arquitetura de uma solução SSI, como a certificação de carteiras, por exemplo.
As principais medidas de segurança em relação aos riscos apresentados pela arquitetura SSI precisam ser implementadas, tais como:
- minimização de dados – usando apenas dados necessários
- consentimento e escolha – em que o usuário controla o processo e os dados utilizados para identificação
- precisão e qualidade – onde todas as partes podem confiar nos dados de identificação armazenados e fornecidos pela carteira.
Proposta de Identidade Digital da UE
A Agência da UE para a Segurança Cibernética saúda as propostas da Comissão Europeia que revisarão o regulamento do EIDAS. A Identidade Digital Europeia destina-se a estar disponível a todos os cidadãos, residentes e empresas da UE, a fim de identificar-se ou fornecer a confirmação de informações pessoais. Os cidadãos poderão provar sua identidade e compartilhar documentos eletrônicos de suas carteiras europeias de Identidade Digital com o clique de um ícone em seu telefone. Eles poderão acessar serviços online com sua identificação digital nacional, que será reconhecida em toda a Europa.
As novas Carteiras Europeias de Identidade Digital permitirão que todos os europeus acessem serviços online sem ter que recorrer a métodos de identificação privada ou compartilhar dados pessoais desnecessários. Graças a essa solução, os usuários terão controle total dos dados que compartilham.
FONTE: HELPNET SECURITY