UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL

2 Autenticação de Usuários

O crescimento das redes abertas fez com que surgissem vários problemas de segurança, que vão desde o roubo de senhas e interrupção de serviços até problemas de personificação, onde uma pessoa faz-se passar por outra para obter acesso privilegiado.

Com isso, surgiu a necessidade de autenticação, que consiste na verificação da identidade tanto dos usuários quanto dos sistemas e processos. Os mecanismos de autenticação de usuários dividem-se em três categorias: baseados no conhecimento (o que se sabe), baseados em propriedade (o que se possui) e baseados em características (o que se é) [YOU96].

2.1 Soluções de Autenticação Baseadas no Conhecimento (O que se sabe)

A autenticação pelo conhecimento é o modo mais utilizado para fornecer uma identidade a um computador, no qual destaca-se o uso de segredos, como senhas, chaves de criptografia, PIN (Personal Identification Number) e tudo mais que uma pessoa pode saber. Porém, como visto na introdução deste trabalho, existem vários problemas com a autenticação baseada em senhas.

Vários métodos foram propostos para tentar tornar a autenticação baseada em senhas mais segura, entre eles o uso de geradores randômicos de senhas, checagem pró-ativa [BIS95], utilização de senhas descartáveis (one-time passwords) e sistemas de desafio/resposta (chalenge/response systems), modificações no processo de login [MAN96] e combinação com outros mecanismos de autenticação de usuários como smartcards [WU96].

2.1.1 Senhas Descartáveis (One-Time Passwords)

Uma senha descartável é aquela que só é usada uma vez no processo de autenticação. Com isso, evita o ataque da captura e repetição da senha, porque a próxima conexão requererá uma senha diferente. Existem muitas implementações de senhas descartáveis baseadas em software e hardware. As implementações baseadas em hardware, utilizam dispositivos especiais como smartcards e tokens.

As senhas descartáveis podem ser classificadas em duas categorias: sincronizadas no tempo e desafio/resposta. No método de autenticação baseado em tempo sincronizado, computa-se uma nova senha a cada 30 segundos, de acordo com um algoritmo pré-definido que utiliza o dia, a hora e um segredo. Em sistemas baseados em desafio/resposta, o sistema envia um desafio para o usuário (geralmente um número ou um string), que retorna uma resposta baseada em um algoritmo pré-definido.

O S/KEY, definido pela RFC 1760, é um sistema que implementa senhas descartáveis. A cada conexão é usada uma senha diferente, impedindo ataques baseados na captura ou adivinhação de senhas. Existem várias implementações compatíveis com S/KEY que podem ser encontradas na Internet.

2.1.2 Perguntas Randômicas (Random Queries)

Perguntas randômicas é um método de autenticação baseado em desafio/resposta. Em uma primeira etapa, faz-se um cadastro do usuário, no qual ele responde a um questionário com perguntas variadas como a bebida favorita, o número da identidade, CPF, data de aniversário, lugar de nascimento, etc.

No momento da conexão, o usuário entra com sua identificação. O sistema, então, escolhe uma pergunta do questionário de forma aleatória e desafia o usuário. Se sua resposta coincidir com a previamente armazenada no questionário, a conexão é permitida e lhe são atribuídos os direitos de acesso correspondentes.

Empresas de cartão de crédito geralmente utilizam este método para autenticar seus usuários em ligações telefônicas. A vantagem é que ele pode ser totalmente implementado em software, não necessitando de hardware adicional.

2.1.3 Análise das Soluções Baseadas no Conhecimento

O mecanismo de autenticação mais popular e usado nos sistemas de computação é a autenticação através de senhas. As vantagens deste tipo de autenticação são:

Onde o usuário estiver, o segredo estará com ele;
O segredo pode ser facilmente modificado, se necessário;
O segredo é facilmente inserido através do teclado, não necessitando de dispositivos especiais;

Entretanto, este tipo de autenticação tem algumas limitações: as senhas podem ser adivinhadas, roubadas ou esquecidas.

Soluções alternativas, como perguntas randômicas e senhas descartáveis, geralmente são de simples utilização e bem aceitas pelos usuários, baratas e fáceis de implementar. Além disso, não requerem hardware adicional como outras soluções baseadas em propriedade e características. Outra vantagem que vale destacar é que elas podem ser integradas em sistemas baseados em rede e na Web, além de diversos sistemas operacionais. Elas evitam vários ataques e problemas baseados em senha, mas não impedem que um aluno divulgue seu segredo para outro fazer o curso em seu lugar.

A utilização de perguntas randômicas, porém, acrescenta uma dificuldade adicional ao aluno que quiser divulgar seu segredo, pois, ao contrário de contar apenas uma palavra (como no caso de senhas), terá que divulgar todas as informações constantes no questionário que serve de base para as perguntas randômicas.

A integração de soluções baseadas em conhecimento com dispositivos biométricos oferece dois níveis de autenticação, e pode ser uma solução interessante para evitar o problema acima citado.

Outras soluções não computacionais também têm sido propostas. Segundo o professor Sigulem [SIG99], da Escola Paulista de Medicina, a solução utilizada naquela instituição na determinação da identidade do aluno para fins de avaliação em um ambiente de educação a distância, foi sobrecarregar o aluno com quatro ou mais horas de trabalho por dia. Através da análise dos trabalhos, consegue-se determinar a identidade do aluno, assim como seu rendimento, porém isto requer muita dedicação e acompanhamento. O custo desse acompanhamento individual pode tornar esta solução inviável.

Algumas instituições obrigam seus alunos a distância a comparecerem em uma sala de aula para avaliação de forma presencial. Outras utilizam centros de certificação, especializados nesse tipo de avaliação. Porém, devido à distância geográfica envolvida em cursos de educação a distância, estas soluções podem ser inviáveis.

2.2 Soluções de Autenticação Baseadas na Propriedade (O que se tem)

As soluções de autenticação baseadas na propriedade caracterizam-se por um objeto físico que o usuário possui. Este objeto pode ser um cartão inteligente (smartcard), uma chave ou um token (dispositivo eletrônico semelhante a uma calculadora, usados para calcular senhas descartáveis). As desvantagens deste tipo de autenticação são que os objetos físicos podem ser perdidos, roubados ou esquecidos e o custo adicional do hardware. A vantagem baseia-se no princípio de que a duplicação do objeto de autenticação poderá ser mais cara que o valor do que está sendo guardado.

É comum ver-se a combinação de autenticação por propriedade com autenticação baseada em senhas, fornecendo dois fatores de autenticação. Sem os dois, um usuário não pode ser autenticado na conexão a um sistema ou aplicação. Com a crescente utilização de cartões inteligentes já é possível obter-se três fatores de autenticação, através de sua combinação com senhas e dispositivos biométricos.

2.2.1 Mecanismos de Autenticação Baseados em Tokens

Tokens são dispositivos semelhantes a uma calculadora de mão e que não necessitam de dispositivos de leitura/escrita adicionais. Eles fornecem autenticação híbrida, usando tanto "algo que o usuário possui" (o próprio dispositivo), como "algo que o usuário conhece" (um PIN de 4 a 8 dígitos). Sistemas de autenticação por tokens baseiam-se em um dos seguintes esquemas: autenticação por desafio/resposta ou autenticação sincronizada no tempo.

Nos sistemas baseados em desafio/resposta, o usuário insere sua identificação no sistema. O sistema apresenta, então, um desafio randômico como, por exemplo, na forma de um número de sete dígitos. O usuário, por sua vez, digita seu PIN no token e informa o desafio apresentado pelo sistema. O token, gera a resposta correspondente cifrando o desafio com a chave do usuário, a qual ele informa ao sistema. Enquanto isso, o sistema calcula a resposta apropriada baseado no seu arquivo de chaves de usuários. Quando o sistema recebe a resposta do usuário, ele a compara com a resposta que acabou de calcular. Se forem idênticas, a conexão é permitida e são atribuídos ao usuário os direitos de acesso correspondentes.

Quando são utilizadas calculadoras de desafio/resposta, é dado a cada usuário um dispositivo que foi unicamente chaveado. Ele não pode utilizar o dispositivo de nenhum outro usuário para seu acesso. O sistema deve ter um processo ou processador para gerar um par de desafios/resposta a cada tentativa de conexão, baseado nos dados informados pelo usuário. Cada desafio é diferente, para que a observação de uma troca de desafios/resposta com sucesso não traga informações suficientes para uma conexão subseqüente. A desvantagem deste esquema é o número de mensagens trocadas entre o usuário e o servidor.

A grande maioria dos fabricantes de tokens utilizam autenticação por desafio/resposta. A empresa Security Dynamics Inc (http://www.securitydynamics.com), porém utiliza o esquema sincronizado no tempo, do qual, manipula sua patente. Neste esquema, um algoritmo proprietário que roda tanto no token quanto no servidor, gera números idênticos que mudam no decorrer do tempo. Quando deseja entrar no sistema, o usuário informa seu PIN de quatro dígitos seguido por um número de seis dígitos mostrado no momento pelo token. Ao receber o PIN, o servidor localiza a chave do usuário e calcula qual deveria ser a senha de acesso para aquele momento, comparando-a com a que o usuário enviou. Se forem iguais, libera o acesso à rede. Um dos problemas desta técnica é que ela exige uma sincronização entre o token e o servidor. Para solucioná-lo, ambos devem ser sincronizados pelo horário de Greenwich.

2.2.1.1 SecureID

SecureID é um sistema de dois fatores de autenticação desenvolvido e comercializado pela Security Dynamics, Inc. Ele é utilizado para identificar usuários de redes e sistemas e prevenir acesso não autorizado.

Cada usuário do SecureID tem uma senha ou PIN memorizada e um token com um visor de cristal líquido. O token mostra um novo valor pseudo-randômico, chamado de tokencode, em um intervalo de tempo fixo, normalmente de 60 segundos. O usuário combina o fator memorizado com o tokencode, pela simples concatenação ou entrando com o valor no teclado do token, que cria a senha requerida para liberar o acesso ao recurso protegido.

Basicamente, o sistema é composto por três componentes: o token propriamente dito, um software cliente, e um software servidor para autenticação e gerenciamento centralizado.

O token contém um microprocessador de 8 bits, um relógio, um visor de cristal líquido, uma bateria e, em alguns modelos, um teclado. A unidade é acomodada em um compartimento que, se aberto, apaga a memória. A figura 2.1 apresenta alguns modelos de tokens SecureID.

FIGURA 2.1 - Modelos de tokens SecureID O software cliente consiste em uma modificação do sistema de autenticação do host para que ele possa se comunicar com um ACE/Server. Atualmente, existem versões do ACE/Server para uma variedade de sistemas operacionais, incluindo Windows NT, Sun Solaris, IBM AIX e HP-UX [SEC99].

Dentre as vantagens apresentadas pelo fabricante do SecureID [SEC99] destacam-se: facilidade de uso; autenticação dos usuários na rede, sistemas, aplicações ou nível de transação; e o fato de não necessitarem de leitores adicionais. As principais desvantagens são que, como todos os dispositivos de tokens, eles podem ser roubados; e a necessidade de não deixar as baterias acabarem.

As suas principais aplicações são na proteção de linhas de acesso discadas, na segurança de hosts e aplicações, e na segurança de redes TCP/IP (Transmission Control Protocol / Internet Protocol) e TACACS (Terminal Access Controller Access Control System).

A Security Dynamics, Inc, também oferece uma solução para acesso à aplicações baseadas na Web. O Secure Web Application Access funciona integrado ao ACE/Server e o SecureID, e proporciona autenticação do usuário, cifragem da informação que passa através da rede com SSL (Secure Sockets Layer) e controle de acesso à aplicações de intranets e extranets. A empresa fornece agentes/ACE para Windows NT Internet Information Server e Netscape Enterprise Server com UNIX, Sun Solaris, HP-UX e AIX [SEC99].

2.2.2 Análise das Soluções Baseadas na Propriedade

As soluções de autenticação baseadas na propriedade caracterizam-se pela posse de um objeto físico. Sua vantagem consiste no princípio de que a duplicação desse objeto será mais cara que o valor do que está sendo guardado. As desvantagens são que os objetos físicos podem ser perdidos ou esquecidos e o custo adicional do hardware.

Dentre as soluções baseadas em tokens, o SecureID, da Security Dynamics, Inc, é líder no mercado com mais de quatro milhões de tokens vendidos no mundo inteiro [FLE99] . Por possuir dois fatores de autenticação (PIN e o token) esta solução apresenta um bom nível de segurança. Uma vez que uma nova senha é gerada a cada 60 segundos, o sistema evita ataques como: adivinhação da senha, ataque do dicionário e monitoramento do tráfego na rede. Outra característica importante na comparação com outros produtos são a facilidade de uso e o fato de não requerer hardware adicional.

A existência de versões do ACE/Server para vários sistemas operacionais, assim como soluções para Internet, facilita sua portabilidade.

Em termos de integração com outras aplicações, a Security Dynamics, Inc, mantém um sistema de parcerias, no qual é disponibilizado um toolkit para a criação de agentes específicos para cada aplicação.

Segundo [FLE99], o custo aproximado de um tokenSecureID é de US$ 70,00. O servidor ACE/Server tem um custo de aproximadamente US$ 400,00 dólares mais um pequeno valor por usuário.

O problema da utilização de mecanismos de autenticação baseados na propriedade para aplicações de ensino a distância é que, assim como as senhas podem ser divulgadas para outras pessoas, os tokens também podem ser emprestados. Aliado ao custo do produto, conclui-se que esta solução seja inviável para essas aplicações.

2.3 Soluções de Autenticação Baseadas em Características (O que se é)

Uma área que está melhorando tecnologicamente e simplificando o processo de identificação de pessoas é a biometria. Sistemas biométricos são métodos automatizados para a verificação ou o reconhecimento de uma pessoa com base em alguma característica física, tal como a impressão digital ou o padrão de íris, ou algum aspecto comportamental, tal como a escrita ou o padrão de digitação [KIM95]. Ainda que os sistemas biométricos não possam ser usados para estabelecer um "sim/não" na identificação pessoal, como as outras tecnologias tradicionais, eles podem ser usados para alcançar uma identificação positiva, com um alto grau de confiança.

Teoricamente, qualquer característica humana, física ou comportamental, pode ser usada para a identificação de pessoas, desde que satisfaça os seguintes requerimentos [JAI97]:

Universalidade: significa que todas as pessoas devem possuir a característica;
Singularidade: indica que esta característica não pode ser igual em pessoas diferentes;
Permanência: significa que a característica não deve variar com o tempo;
Mensurabilidade: indica que a característica pode ser medida quantitativamente.

Na prática, existem outros requerimentos importantes:

Desempenho: refere-se à precisão de identificação, os recursos requeridos para conseguir uma precisão de identificação aceitável e ao trabalho ou fatores ambientes que afetam a precisão da identificação;
Aceitabilidade: indica o quanto as pessoas estão dispostas a aceitar os sistemas biométricos;
Proteção: refere-se à facilidade/dificuldade de enganar o sistema com técnicas fraudulentas.

A tabela 2.1 relaciona os requerimentos acima com algumas técnicas biométricas.

TABELA 2.1 – Comparação de tecnologias biométricas quanto aos requerimentos

Biométricos	Universalidade	Singularidade	Permanência	Mensurabilidade	Desempenho	Aceitabilidade	Proteção
Face	Alto	Baixo	Médio	Alto	Baixo	Alto	Baixo
Impressão Digital	Médio	Alto	Alto	Médio	Alto	Médio	Alto
Geometria da Mão	Médio	Médio	Médio	Alto	Médio	Médio	Médio
Veias da Mão	Médio	Médio	Médio	Médio	Médio	Médio	Alto
Íris	Alto	Alto	Alto	Médio	Alto	Baixo	Alto
Retina	Alto	Alto	Médio	Baixo	Alto	Baixo	Alto
Assinatura	Baixo	Baixo	Baixo	Alto	Baixo	Alto	Baixo
Voz	Médio	Baixo	Baixo	Médio	Baixo	Alto	Baixo

2.3.1 Componentes de um Sistema Biométrico

Um sistema biométrico padrão possui os seguintes componentes:

Um dispositivo de medida, o qual forma a interface do usuário. A facilidade de uso é um fator importante para os biométricos: o dispositivo deve deixar pouca possibilidade para erros. Ele deve ser satisfatório para o uso de uma grande quantidade de pessoas, incluindo aquelas destreinadas;
Um software de operação, incluindo o algoritmo matemático que irá checar a medida contra um modelo (template). Os algoritmos mais recentes dependem menos da modelagem estatística e mais da programação dinâmica, das redes neurais, e da lógica fuzzy (fuzzy logic). Isto aumenta sua flexibilidade; eles são menos suscetíveis a rejeitar alguém por causa de uma sujeira, por exemplo, se o resto do modelo estiver de acordo;
Um hardware e sistemas externos: a usabilidade, confiança e o custo do sistema irá freqüentemente depender tanto destes sistemas externos como dos dispositivos de medida. Alguns sistemas (tais como checagem de impressão digital) são intrinsecamente bem adaptados para o uso em sistemas distribuídos, enquanto outros (tal como reconhecimento de voz) são mais apropriados para sistemas centralizados.

2.3.2 Como Funcionam os Sistemas Biométricos

O mecanismo de autenticação por biometria tem dois modos: registro e verificação. Para o uso inicial da biometria, cada usuário deve ser registrado pelo administrador do sistema. Este, verifica se cada indivíduo registrado é um usuário autorizado. O processo de registro consiste no armazenamento de uma característica biológica do indivíduo (física ou comportamental) para ser usada, posteriormente, na verificação da identidade do usuário.

A característica biológica é tipicamente adquirida por um dispositivo de hardware, o qual está no front end do mecanismo de autenticação por biometria. O componente do front end para estes sistemas é um dispositivo conhecido como sensor. Quando uma característica física é apresentada ao sensor, ele produz um sinal que é modulado em resposta às variações da quantidade física sendo medida. Se, por exemplo, o sensor for um microfone usado para capturar um padrão de voz, ele irá produzir um sinal cuja amplitude varia com o tempo em resposta à variação da freqüência em uma frase falada.

Pelo fato dos sinais produzidos pela maior parte dos sensores serem analógicos por natureza, é necessário converter estes sinais para digitais, para que possam ser processados por um computador. Ao invés de usar todos os dados do sensor, os sistemas biométricos freqüentemente processam estes dados para extrair apenas as informações relevantes ao processo de autenticação. Uma vez que a representação digital foi processada para o ponto desejado, ela é armazenada. A característica biológica armazenada na forma digital é chamada de modelo (template). Muitos dispositivos biométricos capturam amostras múltiplas durante o processo de registro para contabilizar graus de variação na medida destas características.

Uma vez que o usuário está registrado, os dispositivos biométricos são usados na verificação da identidade do usuário. Quando o usuário necessitar ser autenticado, sua característica física é capturada pelo sensor. A informação analógica do sensor é então convertida para sua representação digital. A seguir, esta representação digital é comparada com o modelo biométrico armazenado. A representação digital usada na verificação é chamada de amostra (live scan). A amostra, tipicamente, não confere exatamente com o modelo armazenado. Como geralmente há alguma variação na medida, estes sistemas não podem exigir uma comparação exata entre o modelo original armazenado e a amostra corrente. Ao invés disso, a amostra corrente é considerada válida se estiver dentro de um certo intervalo estatístico de valores. Um algoritmo de comparação é usado para determinar se um usuário quando verificado é o mesmo que foi registrado.

O algoritmo de comparação produz um resultado de quão perto a representação digital está do modelo armazenado. Se o resultado for um valor aceitável, uma resposta afirmativa é dada. A aceitação difere para cada dispositivo biométrico. Para alguns, o administrador do sistema pode configurar o nível do valor de aceitação. Se este nível for muito baixo, o dispositivo biométrico falha por ser um mecanismo de autenticação válido. Se este nível for muito alto, os usuários podem ter problemas na autenticação. Este padrão de comparação é fundamental para a operação de qualquer sistema biométrico, e assim deve ser considerado um fator primário quando avalia-se um produto biométrico específico.

Outro aspecto que afeta a autenticação por biometria é a recuperação do modelo pelo algoritmo de comparação. O modelo pode ser usado na identificação ou na verificação de usuários. Muitos dispositivos usam a verificação, mas alguns usam a identificação.

A identificação biométrica é um processo um-para-muitos, onde uma amostra é submetida ao sistema, que a compara com todos os modelos da base de dados, a fim de verificar se esta coincide com qualquer um destes modelos e, em caso positivo, determina a identidade do usuário a quem aquele modelo pertence [ROE98].

A verificação biométrica é um processo um-para-um, onde o sistema verifica a identidade de um usuário comparando a amostra com um modelo específico. Através de uma identificação fornecida, o sistema localiza o modelo desejado e o compara com a amostra apresentada. Se houver coincidência entre a amostra e o modelo armazenado, o sistema confirma que o usuário realmente possui a identidade afirmada [ROE98]. Por exemplo, um usuário irá digitar o seu nome e então adquire-se uma amostra para a verificação. O algoritmo de comparação usará apenas o modelo armazenado àquele nome. Verificações biométricas são, tipicamente, mais rápidas do que a identificação porque elas não precisam comparar a amostra com todo o banco de dados de modelos.

2.3.3 Falsa Aceitação e Falsa Rejeição

Na escolha de um sistema de autenticação biométrico, o desempenho deve ser levado em conta. Este pode ser categorizado por duas medidas: a taxa de falsa aceitação (FAR – False Acceptance Rate) e a taxa de falsa rejeição (FRR – False Rejection Rate). A FAR, também chamada de erros do tipo 2, representa a percentagem de usuários não-autorizados que são incorretamente identificados como usuários válidos. A FRR, também chamada de erros do tipo 1, representa a percentagem de usuários autorizados que são incorretamente rejeitados.

O nível de precisão configurado no algoritmo de comparação tem efeito direto nessas taxas. O modo como estas são determinadas é fundamental para a operação de qualquer sistema biométrico e assim deve ser considerado um fator primário na avaliação de sistemas biométricos. Deve-se ter cuidado com os números de FRR e FAR dos fabricantes, porque estes são extrapolados por pequenos conjuntos de usuários e a condição de extrapolação é, algumas vezes, errada [NAT94]. Os dispositivos biométricos físicos tendem a ter uma melhor taxa de falsa aceitação por causa da estabilidade da característica medida e porque as características comportamentais são mais fáceis de serem duplicadas por outros usuários.

A configuração do valor limite para tolerância a estes erros é crítica no desempenho do sistema. A falsa rejeição causa frustração e a falsa aceitação causa fraude.

Muitos sistemas podem ser configurados para fornecer detecção sensível (baixa FAR e alta FRR) ou detecção fraca (baixa FRR e alta FAR). A medida crítica é conhecida como taxa de cruzamento (crossover rate). Ela é o ponto onde o FAR e o FRR cruzam-se. Muitos sistemas biométricos comerciais têm taxas de cruzamento abaixo de 0,2%, e alguns abaixo de 0,1%. A taxa aumenta com a freqüência do uso, com os usuários acostumando-se com o sistema e o sistema tornando-se mais afinado com o nível de variação esperado. A figura 2.2 mostra as taxas de falsa aceitação e falsa rejeição.

As taxas FAR e FRR podem ser obtidas através de protocolos "uma tentativa" ou "três tentativas". No protocolo "uma tentativa" os usuários têm apenas uma chance de passar no teste biométrico. Os dados são coletados em apenas uma oportunidade e então são analisados. A partir disso vem a rejeição ou aceitação. No "três tentativas", o usuário tem até três chances antes que seja definitivamente rejeitado. Se as medidas consecutivas são estatisticamente independentes, isto melhora a FRR sem, no entanto, deteriorar a FAR. Entretanto, dependendo do tipo de aplicação, este protocolo de "três tentativas" pode não ser aceitável por uma questão de tempo ou até mesmo por conveniência [CAR97].

FIGURA 2.2 - Falsa aceitação x falsa rejeição

2.3.4 Métodos de Autenticação Biométricos

Os sistemas biométricos baseiam-se em características físicas e comportamentais de pessoas. Uma característica física deve ser relativamente estável, tal como a impressão digital, estrutura da mão, padrão de retina, padrão de íris ou alguma característica facial. Assim são basicamente imutáveis ou variam pouco no decorrer do tempo. Em contrapartida, uma característica comportamental reflete o estado psicológico de uma pessoa (isto é, pode ser afetada por problemas como estresse, fadiga, gripe, etc.). Entretanto, ela possui alguns elementos psicológicos que podem ser usados na identificação de uma certa característica. Por exemplo, o método de identificação baseado em comportamento mais comum é a assinatura de uma pessoa, usada pela sociedade há décadas. Outros comportamentos usados incluem o ritmo de digitação e o padrão de voz.

Muitos sistemas precisam modificar o modelo de referência original a cada vez que ele é usado. Isto ocorre porque muitas características comportamentais mudam no decorrer do tempo, e assim, depois de muitos acessos com sucesso, o modelo pode ser diferente (às vezes significativamente) do modelo inicial, produzindo melhor desempenho na identificação de um usuário inválido. Os esquemas que utilizam este método trabalham melhor apenas quando usados regularmente.

Em geral, desde que o grau de variação entre as pessoas seja maior em uma característica comportamental do que em uma característica física, é mais difícil para desenvolvedores dos sistemas baseados em comportamento o ajuste da variação individual. Entretanto, sistemas que medem atributos físicos tendem a ser maiores e mais caros, e seu uso em algumas aplicações pode ser considerado ameaçador aos usuários. Os dispositivos biométricos baseados em comportamento são geralmente menores em tamanho, sua implementação é mais barata e seu uso é mais amigável. Ambas as técnicas fornecem um meio de autenticação de usuários muito mais confiável que os mecanismos de segurança baseados em senhas ou cartões.

Por causa destas diferenças, nenhum sistema biométrico irá servir para todas as necessidades e, para serem efetivos, é necessário aplicar diferentes técnicas em diferentes situações. Por exemplo, um sistema de verificação de voz pode ser usado em um escritório, enquanto um sistema de reconhecimento de retina pode ser usado no controle de acesso à áreas de segurança máxima [KIM95].

2.3.4.1 Reconhecimento da Face

O uso de reconhecimento de face é o método mais natural de identificação biométrica. O uso das características da face para identificação automática é uma tarefa difícil porque a aparência facial tende a mudar a todo tempo. As variações podem ser causadas por diferentes expressões faciais, mudanças no estilo do cabelo, posição da cabeça, ângulo da câmara, condições de luz, etc. Apesar das dificuldades envolvidas, o reconhecimento facial já foi abordado de diversas maneiras, variando de sistemas de reconhecimento de padrões por redes neurais até varreduras infravermelhas de pontos estratégicos (como posição dos olhos e da boca) na face.

Muitos sistemas de reconhecimento de face utilizam um computador com uma câmera para capturar as imagens da face. Estes sistemas utilizam medidas da face como distâncias entre os olhos, nariz, queixo, boca e linha dos cabelos como meio de verificação. Alguns sistemas também podem executar testes "animados" para evitar que o sistema seja fraudado por uma fotografia.

Variáveis como óculos de sol, bigode, barba, expressões faciais entre outras, podem causar falsas rejeições nesses sistemas.

A seguir serão analisados dois produtos que implementam a tecnologia de reconhecimento de faces: Miros TrueFace (www.miros.com) e Visionics FaceIt (www.faceit.com). Esta análise baseou-se em testes realizados com cópias de avaliação e informações adquiridas nos sites dos fabricantes destes produtos.

2.3.4.1.1 Miros TrueFace

O TrueFace é um software de reconhecimento de face baseado na tecnologia de redes neurais. Isto possibilita que ele se adapte melhor a variações na imagem da face como posição da cabeça e condições de iluminação.

Algumas das principais vantagens do TrueFace são [BIO99]:

A aplicação é passiva para o usuário, isto é, não requer uma ação voluntária como a colocação do dedo em um leitor de digitais. Basta ele olhar para a câmera para ser verificado, tornando-o assim, fácil de usar.
A cada tentativa de acesso, é gravada a imagem do usuário, para fins de auditoria;
É rápido e barato: A verificação demora de 1 a 5 segundos e utiliza câmeras comuns com resolução de 320x240 pontos;
Possui soluções para desktop, redes cliente-servidor, intranets e Internet.
É fácil de integrar: Possui um SDK (Software Development Kit) com bibliotecas para Windows e Sun Solaris.

A compatibilidade com várias plataformas e a facilidade de uso fazem do TrueFace um bom sistema de segurança. A instalação do hardware em uma máquina Windows NT é relativamente simples de realizar-se, pois o TrueFace opera com diversas câmeras e não requer uma placa de captura de vídeo. Porém, a câmera não é inclusa no pacote.

Os administradores podem rastrear a atividade e controlar o acesso aos domínios e às estações Windows NT. Ao contrário de outras soluções, o TrueFace não se limita aos ambientes "Wintel". Estão disponíveis versões para as estações de trabalho Sun e a API (Application Program Interface) que pode ser utilizada para atrelar o mecanismo a outras plataformas e dispositivos.

A inscrição de novos usuários é muito simples; qualquer pessoa capaz de operar um computador pode gerenciá-lo. Primeiro, o TrueFace tira várias fotos da face do usuários, criando-lhe uma conta na base de dados. Em seguida, focaliza a câmera em um lado do rosto e depois no outro, para fazer com que seja mais difícil enganar o sistema.

Além de seus recursos de segurança de login, o TrueFace permite a reprodução de fotos dos usuários rapidamente. Ele pode, então, criar um registro do evento e documentar sua verificação - entrada bem sucedida ou acesso negado, por exemplo. Segundo [GUN99], em testes de laboratório foi possível quebrar a segurança do sistema com uma máscara (produzida em uma impressora em cores) com o rosto de um usuário registrado. O TrueFace não realiza o teste de expressões como o FaceIt, que será apresentado na próxima seção. Porém é possível aumentar a sensibilidade dos limiares padrão. Nos testes realizados, isto evitou que o mascarado continuasse driblando o software [GUN99].

FIGURA 2.3 - Cadastro de um usuário no TrueFace Web

Em termos de solução para Web, a Miros oferece o TrueFace Web. Ele faz com que a face do usuário seja sua chave para permitir o acesso a um Web site. Quando o usuário tenta acessar o Web site, lhe é automaticamente enviado uma página onde ele tem que entrar com sua identificação. O navegador do usuário, então, recebe um cliente TrueFace (controle Active-X ou Netscape plug-in), o qual executa a captura da imagem, cifragem e transmissão para o TrueFace Web Server. Usando o reconhecimento de face, o servidor analisa a identificação e, se aprovada, a página segura é transmitida ao navegador do usuário normalmente. A figura 2.3 mostra uma etapa do cadastro de um usuário no TrueFace Web.

O sistema também permite que sejam feitos cadastros pela Internet, armazenando várias imagens que serão utilizadas para posterior identificação.

Por fim, o sistema possui proteção contra algumas formas comuns de fraude: ele grava a imagem da face de tentativas mal sucedidas de acesso ao site, notificando a administração do servidor. Ele também detecta a tentativa de uso de fotos de usuários autorizados.

A tabela 2.2 apresenta as principais características do TrueFace [MCD99]:

TABELA 2.2 – Principais características do Miros TrueFace

Tempo de cadastro	De 5 a 30 segundos
Tempo de verificação	De 1 a 5 segundos
Taxa de falsa rejeição (FRR)	Menor que 0.2%
Taxa de falsa aceitação (FAR)	Baixa
Tamanho do modelo	De 1000 a 1100 bytes
Facilidade de uso	Muito fácil. Basta olhar para a câmera.
Influência do Ambiente	Necessita de luz em todas as partes da face
Hardware adicional	Câmera com resolução de 320x240 pontos
Software adicional	Microsoft SQL Server 6.5
Facilidade de integração / API	Possui uma API de fácil utilização. Uma aplicação simples necessita de 5 a 10 chamadas
Nível de invasão	Baixo. Normalmente as pessoas aceitam a presença da câmera
Uso em redes / Web	Possui produtos para redes (TrueFace Network) e para Web (TrueFace Web)
Sistemas Operacionais	Windows 95/98 e NT, Sun Solaris
Banco de dados	Microsoft SQL Server 6.5
Preço	US$ 2.995,00 para 25 usuários @ US$120,00 / Usuário

2.3.4.1.2 Visionics FaceIt

O FaceIt é um pacote de software para reconhecimento de face que permite que um computador conectado a uma câmera localize e reconheça a face de um usuário. O FaceIt proporciona maior controle granular sobre os níveis de segurança (e uma segurança maior) que o TrueFace, embora sua configuração seja uma tarefa mais difícil de ser realizada.

Algumas das principais vantagens do FaceIt são: [VISC99]:

Facilidade de uso e rapidez;
Não utiliza nenhum hardware proprietário. Só necessita de uma câmera que capture 5 quadros por segundo e com resolução de 320 x 240 pontos.
Registro da face a cada tentativa de acesso ao sistema, para fins de auditoria;
Possui soluções para desktop, redes cliente-servidor, intranets e Internet.
Compatível com a HA-API (Human Authentication - Application Program Interface) . Possui um SDK para Windows 95/98 e Windows NT e componentes Active-X para aplicações na Web;

O software funciona com ou sem senhas, e pode ser combinado com qualquer produto de fala compatível com SAPI 3.0 (Speech Application Program Interface), para solicitar comandos verbais aos usuários. Embora possa ser executado em praticamente qualquer máquina equipada com processador Pentium, os requisitos de vídeo são os seguintes: uma câmera compatível com Vídeo for Windows que capture ao menos cinco quadros por segundo a uma resolução de 320 x 240 pontos com 16 bits de cores.

A instalação do aplicativo é simples e pode-se utilizar o produto com ou sem uma base de dados de suporte. A interface com o usuário é bem projetada, mas o processo de inscrição não é tão integrado com o Microsoft User Manager quanto outros produtos existentes.

Para cadastrar uma pessoa, deve-se capturar várias imagens com a câmera e definir as informações sobre os usuários e seus direitos de acesso. Também pode-se fazer um teste opcional de expressões e piscares de olhos, reduzindo assim a possibilidade de alguém enganar o sistema com uma fotografia. A figura 2.4 apresenta uma etapa do cadastro do usuário no FaceIt.

FIGURA 2.4 - Cadastro de um usuário no FaceIt

Além de oferecer o controle padrão de login e acesso aos arquivos, o FaceIt pode ser configurado para tirar uma foto instantânea automática de qualquer pessoa que passe na frente da máquina enquanto ela estiver sozinha.

Para soluções na Web, a empresa disponibiliza o FaceIt Active-X, que pode ser inserido em uma página Web com a lista de faces autorizadas a acessar esta página, sendo mantidas no servidor Web.

Tal como o TrueFace, o FaceIt protege-se contra fraudes, registrando a face de tentativas de acesso negadas e evitando o uso de fotografias através de testes de "animação" (expressões e piscares de olhos).

A combinação de captura de imagens, verificação de expressões e barreiras de senhas do FaceIt proporciona um alto nível de segurança. A tabela 2.3 apresenta as principais características do FaceIt [VIS99a]:

TABELA 2.3 – Principais características do Visionics FaceIt

Taxa de falsa rejeição (FRR)	Menor que 1%
Taxa de falsa aceitação (FAR)	Menor que 1%
Tamanho do modelo	De 1000 a 1500 bytes
Facilidade de uso	Muito fácil
Influência do Ambiente	Necessita de luz em todas as partes da face
Hardware adicional	Câmera que captura pelo menos 5 quadros por segundo com resolução de 320x240 pontos e 16 bits de cor
Software adicional	Não necessita
Facilidade de integração / API	Compatível com a HA-API. Possui um SDK para Windows 95/98 e Windows NT e componentes Active-X para aplicações na Web
Nível de invasão	Nenhum. As pessoas aceitam muito bem a presença da câmera
Uso em redes / Web	Possui produtos para redes (FaceIt NT) e um componente Active-X para uso na Web
Sistemas Operacionais	Windows 95/98 e NT
Banco de dados	Não necessita
Preço	Aproximadamente US$100,00 / Usuário

2.3.4.2 Impressão Digital

A estabilidade e a individualidade da impressão digital são largamente reconhecidas e técnicas baseadas em impressão digital têm sido usadas desde o final do século dezenove.

Na verificação de uma impressão, muitos sistemas analisam a posição de detalhes chamados de minutiae, tais como terminações e bifurcações dos sulcos. Sistemas modernos também verificam outras características para identificação única, tais como arcos e voltas que aparecem no dedo. Por exemplo, alguns dispositivos contam o número de cumes entre um minutiae para formar o modelo de referência, enquanto outros o tratam como um problema de processamento de imagens, e aplicam circuitos integrados de grande escala customizados (VLSI – Very Large Scale Integrated), redes neurais, lógica fuzzy (fuzzy logic) e outras tecnologias para resolver o problema.

Um modelo de referência padrão de uma impressão digital requer aproximadamente 500 bytes. Alguns fabricantes afirmam que com o uso de compressão, o modelo pode chegar a 50 bytes. A verificação da impressão digital leva em média de 1 a 2 segundos [BIO99a].

Numa imagem de impressão digital obtida por um dispositivo, existem em média 30 a 40 minutiae. O FBI (Federal Bureau of Investigation) americano comprovou que não existem dois indivíduos que possuam mais do que 8 minutiae comuns [BIO98].

Nos dispositivos de impressão digital, o leitor deve minimizar a rotação da imagem. Ele deve compensar uma ligeira variação na imagem armazenada. Existem, também, problemas quando o usuário tem pequenos ferimentos no dedo, sujeira ou ressecamento da pele. Uma freqüente limpeza pode reduzir a percentagem de falsas rejeições.

Existem três tipos de leitores de digitais: [BIO99b].

Ópticos: O dedo é colocado sobre um plataforma de vidro e uma imagem do dedo é capturada. Estes dispositivos tornaram-se pequenos e baratos;

Ultra-som: O dedo é colocado sobre uma plataforma de vidro e uma varredura de ultra-som é efetuada;
Baseados em chip: O usuário coloca seu dedo direto em um chip de silício.

Sistemas de identificação de digitais utilizam somente os leitores ópticos. Sistemas de verificação (executam verificação um-pra-um) utilizam todos os três.

Impressões digitais têm sido utilizadas em várias aplicações como controle de acesso, caixas automáticos de bancos, registros de saúde, entre outras. Algumas de suas principais vantagens são a rapidez e a confiança, o baixo preço e o pequeno tamanho dos leitores e o fato de ele ser considerado pelos usuários como pouco intrusivo. Entretanto, algumas pessoas acham que, sendo requerido sua impressão digital, estão sendo tratadas como criminosas [BIO99b].

2.3.4.2.1 Identicator BioLogon

O Identicator BioLogon (www.identicator.com) é um scanner compacto de impressões digitais projetado para implementações OEM (Original Equipment Manufacturers). Ele foi testado como recurso interno do Key Tronic Secure Scanner Keyboard, um teclado para PC com o scanner Identicator DFR-200 embutido à esquerda das teclas. A KeyTronic vende este modelo com o software Identicator BioLogon.

O teclado KeyTronic é conectado nas portas paralelas, do teclado e do mouse. O software acresce (ao invés de substituir) as senhas de logon de seus usuários, o que é ideal para a segurança, mas nem tanto para a comodidade, se este for o motivo da aquisição do scanner. A figura 2.5 apresenta o teclado KeyTronic.

FIGURA 2.5 - Teclado KeyTronic.

O Identicator 1.01 é facilmente operado: ele funciona pela simples adição de modelos biométricos a campos extras da base de dados SAM (Security Accounts Manager) do Windows NT. Isto significa que o sistema trabalha dentro da arquitetura de segurança padrão do Windows NT e é replicado, automaticamente, pelos Backup Domain Controllers. O software também engloba, de forma inteligente, o User Manager for Domains, adicionando um botão de cadastro biométrico às telas básicas do gerenciamento de usuários.

O processo de inscrição é amigável, incluindo um assistente passo-a-passo que solicita ao usuário uma impressão digital e a verifica. Na versão 2.0 do software (a ser disponibilizada em breve), o Identicator pretende implementar uma opção combinada de cartão inteligente/scanner de impressões digitais, além da capacidade de efetuar o logon sem a senha texto do Windows NT.

Para resumir, o BioLogon é uma solução de segurança avançada e fácil de ser usada. Por ser extremamente pequeno, os OEMs podem integrá-lo a seus produtos de várias maneiras. E graças ao simples, porém eficaz, software da Identicator, os administradores de redes têm um leque igualmente amplo de opções para incorporar a autenticação de impressões digitais em suas redes. O preço nos Estados Unidos é de US$ 150,00.

2.3.4.2.2 American Biometric BioMouse Plus

O American Biometric BioMouse Plus (www.abio.com) representa a segunda geração de scanners de impressões digitais. Ele combina a tecnologia de reconhecimento das digitais com um leitor de cartões inteligentes embutido, garantindo maior segurança e flexibilidade. Esta solução apresenta quase 100% de segurança quando o sistema está ativo. Entretanto, há um segundo procedimento de logon que permite a um determinado usuário acessar o sistema muito facilmente, utilizando apenas um cartão inteligente e um PIN. Este processo, aliado à arquitetura de software pesada e ao alto custo, impede que o produto seja considerado uma solução ideal.

Um dos seus grandes atrativos é a compatibilidade com várias plataformas. É possível instalar o BioMouse Plus em qualquer cliente Windows (desde o Windows 3.1 ao Windows NT) assim como em grande parte dos clientes Unix. O pacote inclui diversos componentes para o estabelecimento de segurança local e ao nível dos domínios: um servidor de autenticação, um emissor de cartões inteligentes, um programa para cadastro de usuários e um programa para manutenção de senhas. A figura 2.6 apresenta o dispositivo de leitura do BioMouse Plus.

FIGURA 2.6 - Dispositivo de leitura do BioMouse Plus

A base de dados do servidor de autenticação não é integrada ao SAM do Windows NT, tampouco é replicada. Isto representa risco de caos entre os usuários caso esta máquina entre em pane.

Para cadastrar um usuário, o administrador emite um cartão inteligente utilizando o emissor que o acompanha. Depois, o dedo do usuário é inscrito no servidor de autenticação. Uma vez concluído este processo, uma sessão inicial de manutenção de senha deve ocorrer, para que a senha do usuário seja transferida para seu cartão inteligente.

No geral, o American Biometric BioMouse Plus precisa de alguns aprimoramentos. Embora o funcionamento do hardware seja confiável, o software é de difícil manutenção [PLA99]. A tabela 2.4 apresenta as principais características do American Biometric BioMouse Plus [WEL99]:

TABELA 2.4 – Principais características do American Biometric BioMouse Plus

Tempo de cadastro	De 20 a 30 segundos
Tempo de verificação	1 segundo
Taxa de falsa rejeição (FRR)	Não disponível
Taxa de falsa aceitação (FAR)	De 0,1% a 0,0001%, configurada pelo usuário
Tamanho do modelo	De 350 a 650 bytes
Facilidade de uso	Fácil de usar e instalar
Hardware adicional	O hardware está incluso no preço
Software adicional	Não necessita
Facilidade de integração / API	Possui um SDK em C/C++. O preço do BioMousePlus toolkit é de US$895,00
Nível de invasão	Baixo. É só colocar o dedo no leitor.
Uso em redes / Web	Permite login em Windows NT e Novell
Sistemas Operacionais	Windows 95/98 e NT, Sun Solaris, Linux e Solaris Sparc 2.5
Banco de dados	Proprietário
Preço	US$ 299,00 por instalação

2.3.4.2.3 Identix TouchSafe Personal

O Identix TouchSafe Personal (www.identix.com) é um scanner de impressões digitais que pode ser conectado à porta serial do computador. Ele vem acompanhado do software IDXsecure para Windows NT, da própria empresa. Ao fornecer uma camada adicional de verificação de usuários para logins do Windows NT, ele visa reforçar a segurança de desktops e redes. A figura 2.7 apresenta a solução Identix TouchSafe Personal.

FIGURA 2.7 - Identix TouchSafe Personal .

O TouchSafe apresenta um circuito interno que inclui um processador RISC (Reduced Intruction Set Computers) de 32 bits integrado, que tem como objetivo comparar mais rapidamente as digitais processadas pelo scanner com os modelos dos usuários. Como opção, ele também é capaz de trabalhar com uma leitora de cartões inteligentes.

O software que acompanha, o IDXsecure, permite que os administradores configurem estações de trabalho de forma que seja necessária a verificação de digitais para login em uma rede Windows NT. Uma base de dados proprietária mantém os modelos das digitais cadastrados no disco rígido local da estação, obrigando os administradores a cadastrarem os usuários pessoalmente em cada uma das máquinas que eles possam utilizar.

Tanto o cadastro quanto a verificação de digitais podem ser convenientemente acessadas a partir de uma única tela. Os dez dedos podem ser inscritos. Um programa de administração independente (o Administration) permite definir o nível de segurança (o número máximo de usuários), o limiar para a detecção de dedos falsos (correspondência de 67% ou 100%) e o número permitido de tentativas de verificação antes da rejeição do login.

Em suma, o Identix TouchSafe possui um hardware admirável e pode ser uma boa opção para a segurança de algumas máquinas. Entretanto, outros produtos oferecem melhores recursos para redes [GUN99]. A tabela 2.5 apresenta as principais características do Identix TouchSafe [IDE99]:

TABELA 2.5 – Principais características do Identix TouchSafe

Tempo de cadastro	Menor que 20 segundos
Tempo de verificação	1 segundo
Taxa de falsa rejeição (FRR)	Menor que 2%
Taxa de falsa aceitação (FAR)	Menor que 0,001%
Tamanho do modelo	118 bytes
Facilidade de uso	Fácil de usar e instalar
Software adicional	IDXSecure
Facilidade de integração / API	Possui um SDK vendido a um preço de US$ 2.000,00
Nível de invasão	Baixo. É só colocar o dedo no leitor.
Uso em redes / Web	Permite login em Windows NT
Sistemas Operacionais	Windows 95/98 e NT
Banco de dados	Proprietário
Preço	US$ 499,00 por instalação

2.3.4.3 Geometria da Mão

A geometria da mão tem sido usada em aplicações desde o começo de 1970. Ela baseia-se no fato de que virtualmente não existem duas pessoas com mãos idênticas e de que o formato da mão não sofre mudanças significativas após certa idade [BIO98]. Existem diversas vantagens no uso da forma tridimensional da mão da pessoa como um dispositivo de identificação. Primeiramente, é razoavelmente rápida. Leva menos que 2 segundos para capturar a imagem de uma mão e produzir a análise resultante. Secundariamente, requer pouco espaço de armazenamento. É também requerido pouco esforço ou atenção do usuário durante a verificação, e os usuários autorizados são raramente rejeitados.

As dimensões da mão, tal como tamanho do dedo, largura e área são as principais características usadas nas análises. Para a captura, o usuário posiciona sua mão no leitor, alinhando os dedos, e uma câmara posicionada acima da mão captura a imagem. Medidas tridimensionais de pontos selecionados são tomadas e o sistema extrai destas medidas um identificador matemático único na criação do modelo. Um típico modelo requer cerca de nove bytes de armazenamento.

Um dos problemas com sistemas que utilizam a geometria da mão é causado pela rotação da mão quando colocada no leitor. Isto resolve-se usando pinos de posicionamento dos dedos. O sistema também deve levar em conta os diferentes tamanhos das mãos em diferentes usuários, e seu desempenho não deve ser prejudicado por sujeira e cortes na mão da pessoa. A figura 2.8 apresenta um leitor de geometria da mão.

FIGURA 2.8 - Leitor de geometria da mão

É quase impossível secretamente obter informações sobre a geometria da mão de uma pessoa, ao menos que haja sua cooperação. O sistema é fácil de ser usado, não requer treinamento complexo e pode ser utilizado por qualquer pessoa desde que não tenha deficiência relacionada com algum aspecto físico da mão. Quanto à estabilidade, deve-se ressaltar que a geometria da mão muda de acordo com a idade e, ocasionalmente, com a perda ou ganho de peso.

Existem alguns produtos que utilizam autenticação baseada em geometria da mão disponíveis no mercado. A empresa BioMet Partners (www.biomet.ch) disponibiliza o FingerFoto, baseado na geometria do dedo. Algumas características deste produto são [BMP99]: o tempo de cadastro e de a verificação na base de 1 segundo, FRR e FAR de 0,1%, o tamanho do modelo de 20 bytes, é fácil de ser usado e a necessidade do Finger Geometry Biometry OEM Camera na realização das leituras do dedo.

A Universidade de Michigam desenvolveu um sistema de acesso a Web baseado em geometria de mão [JAI98]. Nesse sistema, é utilizada a autenticação básica fornecida pelo NCSA (National Center for Supercomputing Applications) na restrição do acesso à Web, mas utiliza dados biométricos da geometria da mão ao invés de senhas para autenticação. Apesar de ser apenas um protótipo, demonstrou-se que sistemas de autenticação baseados em geometria de mão podem ser usados para controlar o acesso a paginas Web.

2.3.4.4 Reconhecimento de Retina

Algumas pesquisas têm provado que o padrão de veias da retina é a característica com maior garantia de unicidade que uma pessoa pode ter [AND99]. Os analisadores de retina medem esse padrão de vasos sangüíneos usando um laser de baixa intensidade e uma câmara. Nesta técnica, deve-se colocar o olho perto de uma câmara para obter uma imagem focada.

A análise de retina é considerada um dos métodos biométricos mais seguros. A FAR é nula e as fraudes até hoje são desconhecidas. Olhos falsos, lentes de contato e transplantes não podem quebrar a segurança do sistema [CAR97].

Recentes pesquisas médicas mostraram, entretanto, que as características da retina não são tão estáveis como pensava-se anteriormente: elas são afetadas por doenças, incluindo doenças das quais o paciente pode não estar ciente. Muitas pessoas ficam temerosas em colocar seu olho próximo a uma fonte de luz e aos problemas que isto possa causar. Como resultado, esta técnica impulsionou o caminho da utilização da análise da íris, que é menos invasiva. A figura 2.9 apresenta um exemplo de analisador de retina.

FIGURA 2.9 - Analisador de retina As principais características dos analisadores de retina são [AND99]: tempo de verificação de 1,5 segundos, FRR de 12,4% (1 tentativa) e 0,4% (3 tentativas), FAR de 0%, tamanho do modelo de 40 bytes, difícil de usar e muito invasivo. Este método não é vulnerável à fraudes: falsos olhos, lentes de contato e transplantes não quebram a segurança do sistema.

2.3.4.5 Reconhecimento de Íris

Íris é o anel colorido que circunda a pupila do olho. Cada íris possui uma estrutura única que forma um padrão complexo e pode ser usada para identificar um indivíduo. A captura da imagem é feita por uma câmara em preto e branco. O usuário olha para a câmara de uma distância de aproximadamente 30 cm ou mais por poucos segundos. O sistema acomoda usuários de lentes de contato sem dificuldades, embora o sensor deva ser montado ou ajustado de modo a ser satisfatório para usuários de diferentes alturas, incluindo aqueles em cadeiras de roda.

Um sistema de reconhecimento de íris automatizado compara o novo padrão de íris capturado com o padrão de íris armazenado em uma base de dados para decidir se eles foram originados do mesmo olho. Estas imagens são processadas encontrando a íris dentro da imagem e depois extraindo suas características, alinhando o padrão com o armazenado na base de dados e combinando o conjunto de características para determinar se este foi originado do mesmo olho. O modelo da íris ocupa aproximadamente 512 bytes.

Sistemas automatizados de identificação e verificação baseados na tecnologia de reconhecimento de íris, não são invasivos e requerem menos interação do usuário do que outros sistemas biométricos. O reconhecimento de íris é uma nova tecnologia, onde a baixa FAR é a principal vantagem.

A empresa IrisScan, Inc (www.iriscan.com), possui a patente sobre a tecnologia de reconhecimento de íris. As principais características dos produtos da IrisScan são [FID99]: tempo de cadastro menor que 30 segundos; tempo de verificação entre 1 e 2 segundos; FAR e FRR de 0,00001%; tamanho do modelo de aproximadamente 512 bytes; é fácil de ser usado; influência de ambientes com umidade; em termos de integração, é compatível com a HAAPI (Human Authentication - Application Program Interface) e BioAPI (Biometric Application Program Interface); baixo nível de invasão, pois as imagens são capturadas em uma distância de 20 centímetros; funciona em redes Windows NT, e no futuro na Web; disponível para sistema operacional Windows NT; possui banco de dados proprietário; e preço de US$ 5.000 para o System 2100 e US$ 995 por unidade para o PCIris. A figura 2.10 mostra o kit de instalação do PCIris.

FIGURA 2.10 - Kit de instalação do PCIris

2.3.4.6 Reconhecimento de Voz

O reconhecimento de voz é um dos sistemas menos invasivos e a forma mais natural de uso é o sistema de reconhecimento de fala.

O som da voz humana é produzido pela ressonância na região vocal, em função de seu comprimento e do formato da boca e das cavidades nasais. Para a captura do som, o usuário posiciona-se diante de um microfone e pronuncia uma frase previamente selecionada, ou uma frase qualquer. Este processo é repetido várias vezes até que seja possível construir um modelo. Todos os sistemas que analisam a voz estão amplamente baseados na tecnologia de processamento de fala. A forma da onda das frases é medida usando-se análises de Fourier para encontrar o espectro de freqüências que amostram as características da voz.

A tecnologia de reconhecimento de voz é fácil de usar e não requer grandes esforços na educação do usuário. Entretanto, deve-se cuidar para garantir que o usuário fale em um tempo apropriado e em voz clara.

Uma vez que as pessoas formam seus padrões de fala através da combinação de fatores físicos e comportamentais, a imitação é impossível. Entretanto, existem problemas com as condições do ambiente onde se encontram os sensores, uma vez que é difícil filtrar o ruído de fundo. Outros problemas incluem a variação da voz devido às condições físicas do usuário, como gripes e resfriados, estados emocionais como o estresse, e duplicação através de um gravador. A imitação, porém, não é um problema como se poderia pensar, porque os aspectos da voz medida pelos sistemas não são os mesmos que os seres humanos costumam perceber.

Existem diversos fabricantes de produtos de reconhecimento de voz, entre eles a VeriVoice (www.verivoice.com), T-Netix,(www.tnetix.com), Keyware (www.keywareusa.com) e Veritel Corp (www.veritelcorp.com). As principais características dos produtos da Verivoice são [VER99]: tempo de cadastro: 3 minutos; tempo de verificação em torno de 0,5 segundos em um Pentium Pro de 200MHhz; FAR e FRR de 1,7%; tamanho do modelo de 2 a 5 Kbytes; é fácil de ser usado; influência de ambientes com ruídos; baixo nível de invasão; funciona em redes Windows NT; está disponível para sistema operacional Windows NT/95/98 e Solaris 2.5. A figura 2.11 apresenta uma etapa do cadastro de voz no produto VoiceGuardian, da Keyware.

FIGURA 2.11 - Cadastro de voz no software VoiceGuardian

2.3.4.7 Reconhecimento de Assinatura

O ritmo necessário para escrever uma assinatura pode ser usado em um sistema de identificação automático. Esta técnica já é muito usada e popular, uma vez que todos os cheques são verificados usando-se as assinaturas.

Existem dois métodos de identificação: um método examina a assinatura já escrita, comparando-a, como uma imagem, com um modelo armazenado. A maior desvantagem deste método é que ele não pode detectar fotocópias das assinaturas. O outro método estuda a dinâmica da assinatura. Este esquema analisa o processo dinâmico da realização de uma assinatura – ritmo de escrita, contato com a superfície, tempo total, pontos de curva, laços, velocidade e aceleração. Os dispositivos utilizados para análise dinâmica são canetas óticas e superfícies sensíveis. A figura 2.12 apresenta um dispositivo de análise dinâmica de assinaturas.

FIGURA 2.12 - Dispositivo de análise dinâmica de assinaturas.

Como todas as características comportamentais, as assinaturas estão sujeitas ao humor do usuário, ao ambiente, à caneta , ao papel, e assim por diante. As assinaturas de algumas pessoas são muito consistentes, enquanto as de outras variam muito.

O modelo de assinatura tem tipicamente 1 Kbyte. Isto facilita seu uso online e com cartões inteligentes. Outras características são: possui baixa FAR, FRR em torno de 10%, é fácil de usar e tem um tempo de verificação entre 5 a 10 segundos.

2.3.4.8 Ritmo de Digitação

Como a assinatura, o ritmo de digitação exibe o mesmo fator neurofísico que pode ser utilizado na identificação única de um indivíduo. Esquemas de ritmo de digitação analisam o modo como um usuário digita em um terminal, monitorando o teclado 1000 vezes por segundo.

O método normal é a utilização das latências de digitação – o tempo entre a digitação de duas teclas. Certos dígrafos, ou digitação de duas letras adjacentes, freqüentemente, apresentam padrões de tempo únicos que podem ser usados para caracterizar um indivíduo.

O procedimento geral de identificação e verificação requer que o usuário gere um perfil ou modelo. Na operação, a verificação requer a geração de um perfil de digitação, que é comparado com o modelo. Se existir uma grande diferença entre os dois perfis, o usuário terá seu acesso negado. Uma das vantagens deste método é que o usuário não percebe quando está sendo autenticado, ao menos que ele tenha sido informado anteriormente. Outra vantagem é que o cadastro e a verificação não são invasivos.

Em [RU97] é apresentado um sistema de controle de acesso baseado em ritmo de digitação que utiliza lógica fuzzy para analisar os padrões de digitação, e demonstra que esta técnica pode ser usada para identificar usuários legítimos.

2.3.5 Análise das Soluções Baseadas em Conhecimento

Os avanços da biometria aliados a PCs mais rápidos tornaram possível e econômico o uso de uma variedade de tecnologias de autenticação biométrica em redes e desktops. Os sistemas biométricos baseiam-se em características físicas e comportamentais de pessoas. Os principais sistemas biométricos utilizados nos dias de hoje baseiam-se no reconhecimento de face, impressão digital, geometria da mão, íris, retina, padrão de voz, assinatura e ritmo de digitação. As vantagens dos biométricos são que eles não podem ser forjados nem tampouco esquecidos, obrigando que a pessoa a ser autenticada esteja fisicamente presente no ponto de autenticação. A desvantagem reside na falta de padrões.

A tabela 2.6 apresenta uma comparação entre vários produtos que implementam as diferentes tecnologias de autenticação biométrica segundo alguns fatores de teste sugeridos pelo Biometric Consortium [BIC99].

TABELA 2.6 – Comparação de produtos biométricos

Produtos / Características	TrueFace	FaceIt	BioMouse Plus	TouchSafe Personal	PCIris	VeriVoice
Tempo de cadastro	5 a 30s	n.i.	20 a 30s	< 20s	< 30s	180s
Tempo de verificação	1 a 5s	1s	1s	1s	1 e 2s	0,5s
FRR	< 0,2%	< 1%	n.i.	<2%	0,00001%	1,7%
FAR	Baixa	< 1%	0,1% a 0,0001% - configurável	< 0,001%	0,00001%	1,7%
Tamanho do modelo	1000 a 1100 bytes	1000 a 1500 bytes	350 a 650 bytes	118 bytes	512 bytes	2 a 5 Kbytes
Facilidade de uso	Fácil	Fácil	Fácil	Fácil	Fácil	Fácil
Influência do ambiente	Necessita de luz	Necessita de luz	n.i.	n.i.	Problemas c/ umidade	Problemas c/ ruídos
API	Possui	Possui	Possui	Possui.	Possui	Possui
Uso em redes / Web	Sim/Sim	Sim/Sim	Sim/Não	Sim/Não	Sim/Não	Sim/Não
Sistemas operacionais	Windows 95/98/NT, Solaris	Windows 95/98/NT	Windows 95/98/NT, Solaris, Sparc 2.5 e Linux	Windows 95/98/NT	Windows NT	Windows 95/98/NT, Solaris 2.5
Banco de dados	SQL Server	Proprietário	Proprietário	Proprietário	Proprietário	Proprietário
Preço	US$ 120/usuário	US$ 100/usuário	US$ 299 / instalação	US$ 499 / instalação	US$ 995	n.i.

n.i: não informado

Dentre os métodos de autenticação analisados, o que demonstrou ser mais interessante para o uso em sistemas de educação a distância foi o reconhecimento de face. Os produtos analisados que implementam esta tecnologia são o TrueFace e o FaceIt. Ambos são rápidos e fáceis de usar. Em ambos sistemas é requerida uma câmera digital para a captura das imagens, mas pressupõe-se que este dispositivo de hardware esteja disponível em ambientes de educação a distância.

Dentre as principais características dos sistemas citados acima, destacam-se: são rápidos e fáceis de usar, possuem soluções para redes e para Web e podem ser integrados à aplicações através de APIs. Ambos possuem versões para Windows 95/98/NT, porém o TrueFace também é compatível com Sun Solaris.

Uma importante característica que ambos implementam e que é especialmente importante para aplicações remotas, é que a cada tentativa de acesso é gravada uma imagem do usuário para fins de auditoria. O custo dos produtos fica na base de US$100 a U$120 por usuário, porém os produtos somente são vendidos com um mínimo de 25 licenças [MCD99] [VIS99a].

Os sistemas baseados em impressão digital são mais indicados na utilização em desktops embora possam funcionar em rede. Os produtos analisados ainda não possuem soluções para Web, tornando-os inviáveis para uso remoto. Porém os fabricantes já anunciaram que pretendem disponibilizar suporte à Web em suas próximas versões, o que é um indicativo de que em um curto espaço de tempo será possível utilizá-los em procedimentos de educação a distância. Eles poderiam ser utilizados em centros de certificação para autenticar localmente o aluno na realização de uma prova a distância.

Em geral, os produtos de impressão digital são fáceis de usar. Por serem extremamente pequenos, é comum encontrarem-se leitores de digitais integrados em teclados e mouses. A maioria é compatível com Windows 95/98/NT, sendo que alguns deles apresentam também versões para Sun Solaris e Linux. O custo varia de US$150 a US$499 por instalação.

Outras soluções, como reconhecimento de retina, íris e geometria da mão, necessitam de equipamentos extras, o que mantém seu custo elevado, sendo mais indicados, então, em aplicações bancárias e no controle de acesso a áreas protegidas.

Não foram encontradas soluções disponíveis gratuitamente ou a um baixo custo que viabilizasse sua aquisição para utilização neste projeto. Algumas alternativas que podem ser consideradas são a análise de predicado, a qual identifica o aluno por seu estilo de escrita [TUC99], e a utilização da câmera digital na realização de checagens randômicas, onde, em tempos aleatórios, captura-se uma foto do aluno, a qual deve ser enviada para um diretório remoto para conferência posterior por parte do professor.

Em termos de segurança, a integração de múltiplos dispositivos biométricos reduz a possibilidade de fraudes. Esta parece ser uma tendência dos sistemas de identificação [JAI99]. Técnicas biométricas multimodais, as quais combinam múltiplos dispositivos biométricos para uma identificação, podem ser usadas para superar as limitações individuais de cada dispositivo. Experimentos de integração de vários dispositivos foram efetuados com resultados muito positivos tanto em tempo de resposta, como em precisão [JAI99] [HON98].

Outra tendência que se percebe é a combinação de biometria com smartcards. Prova disso é o anúncio do BioSMART [BII99], o primeiro smartcard integrado com um sistema de verificação de impressão digital. Armazenando o modelo no smartcard, o BioSMART fornece um sistema de identificação pessoal portátil. Além disso, reduz os custos administrativos associados com a manutenção do banco de dados de modelos.

Por fim, percebe-se que a biometria é uma tecnologia emergente. Empresas de pesquisa indicam que a demanda européia por dispositivos biométricos irá exceder US$ 133 milhões no ano 2001 [BIO99a]. Segundo relatório da ICSA, em janeiro de 1998, existiam 330 produtos biométricos conhecidos, dos quais 223 eram comerciais. Em dezembro de 1998, o número de produtos biométricos conhecidos passou para 513, tendo um crescimento de 55%, enquanto os produtos biométricos comerciais chegaram a 330, com crescimento de 48% [ICS99]. Os dados são mostrados no gráfico da figura 2.13. Este crescimento, aliado à queda dos preços dos dispositivos biométricos, leva-nos a crer que em pouco tempo poderemos ter produtos biométricos mais viáveis de integração com aplicações de ensino a distância.

FIGURA 2.13 - Número total de produtos biométricos