Segurança à porta:

A biometria

por

Alexis da Cruz Henriques Guia

Departamento de Engenharia Informática

Universidade de Coimbra

3030 Coimbra, Portugal

aguia@student.dei.uc.pt

Resumo – Apresentam-se os benefícios da biometria no campo da segurança. Para isso, anunciam-se as vantagens e as razoes que levam ao uso da biometria contra a fraude informática e como se deve proceder. Ainda são abordados com alguma profundidade alguns sistemas biométricos. Espera-se a sensibilização e confiança das pessoas/empresas em relação a esta nova tecnologia.

Palavras-chaves: biometria, reconhecimento facial, impressão digital, geometria da mão, íris, retina, segurança, identificação pessoal, reconhecimento, voz, sistemas biométricos.

 

Introdução

Já alguma vez imaginou o mundo sem chaves, códigos ou cartões? Nos nossos dias, usamos chaves para entrar no carro, em casa, no emprego; temos códigos de acesso às nossas varias contas de e-mail, contas bancarias, aos telemóveis, aos computadores, e sem falar dos cartões de identificação que temos que possuir tais como o bilhete de identidade (B.I.) ou outros. Parece mesmo que estes métodos ficarão entre nos para sempre! Mas não, porque acabou de chegar a biometria.

A biometria promete resolver muitos dos problemas das empresas em termos de segurança. Tudo o que era susceptível de roubo, falsificação ou esquecimento irá deixar o seu lugar aos sistemas biométricos. Por um lado, estes requerem a presença física da pessoa a identificar, no ponto de acesso. Por outro, nas técnicas de biometricas mais seguras, é virtualmente impossível enganar o sistema. Alem disso, não existe o problema de ter esquecido a password ou o cartão de acesso.

Por isso, prepare-se. A biometria está à porta, e veio para ficar...

 

Os sistemas biométricos

A biometria está entre nós desde sempre. No entanto, não deve ter ouvido falar muito deste termo. Se formos ao dicionário, diz o seguinte: capitulo da biologia que aplica ao estudo dos seres vivos métodos estatísticos e calculo de probabilidades. Ainda podemos ir até a sua origem. A palavra biometria vem do grego ‘bios’ – vida e ‘métron’ – medida.

Mas o que será a biometria no campo da informática?

Neste caso, a biometria estende-se como a identificação automática de uma pessoa baseado nas suas caracteristicas fisiológicas (impressões digitais, traços faciais, retina, etc.) ou comportamentais (voz e assinatura, tal como a sua forma de escrever), que são as únicas de indivíduo para indivíduo.

Actualmente, as formas de identificar uma pessoa são: uso de password e de PIN (Personal Identidifcation Number), uso de passaporte, de bilhete de identidade, de carta de conduçao entre outros. Infelizmente, estes meios usados para identificaçao já há muito foram provados não serem eficazes. Uma password pode ser roubada, esquecida se esta nao for escolhida pelo dono, ou entao facil de advinhar caso o seja. O mesmo acontece com os nossos documentos que podem ser copiados. Com a biometria, já deixarão de ser possível estas fraudes, sendo obrigatório a presença física da própria pessoa para sua identificação.

Assim, com o incremento do uso de computadores como veículos de tecnologia de informação, tornou-se necessário restringir o acesso a dados pessoais. Do mesmo modo, o comercio electrónico pode ser um dos principais beneficiários destas soluções biometricas, visto este mercado ser ainda bastante limitado, muito provavelmente devido à falta de um adequado nível de segurança. Este problema incentivou o crime informático, condenando pessoas inocentes. Com o uso da biometria, espera-se reconquistar a crença das pessoas e dissuadir o e-crime.

Pode-se pensar que este ramo é novo, mas não. Desde há muitos anos, várias empresas empenharam-se em desenvolver projectos relacionados com aplicações biométricas, esperando a explosão desta nova tecnologia. Isto fez com que aparecesse vários métodos biométricos. Os principais tipos são baseados em no reconhecimento facial e das impressões digitais. No entanto, existem outros que usam a íris, a retina, a voz, a geometria da mão, etc. A combinação de vários sistemas biométricos torna o reconhecimento mais preciso e mais seguro, mas obviamente, encarece os custos.

Desta feita, podemos fazer uso da biometria para dois fins:

- verificação de que a pessoa portadora de um objecto identificador (cartão, crachá ou outro) fornecido pela aplicação, é de certeza a proprietária deste (serei mesmo aquele que afirmo ser?).

- identificação de um indivíduo dentro de um dado sistema (quem sou eu?).

No entanto, não podemos usar a biometria para resolver todo e qualquer problema. Podemos respeitar um conjunto de passos antes de tomar esta decisão.

As principais razoes que levam uma empresa a fazer uso de sistemas biométricos são:

o nível actual de segurança já não satisfaz as especificações da aplicação em causa;

a fraude da aplicação é demasiado alto ou incontrolável;

os métodos usados para verificação/identificação são demasiados dispendiosos ou inconsistentes.

É evidente de que se esta decisão fosse assim tão simples de tomar, o mundo já estaria rodeado deste tipo de segurança. Mas tal não acontece. Consideremos cinco passos gerais que convêm serem seguidos para se chegar à conclusão de que a biometria é ou não uma boa solução. Estas etapas irão de igual modo ajudar à escolha da melhor solução biométrica em termos de segurança, pratica e economia:

1 – identificar o nível de segurança actual da aplicação: existem cinco parâmetros a serem avaliados e calculados: o tempo necessário para ‘inserir’ uma nova pessoa na aplicação, o tempo gasto por um indivíduo para realizar uma operação bem sucedida, a percentagem de falsas rejeições (FAR – False Acceptance Rate) às pessoas que usam a aplicação (quantas vezes é necessário repetir uma operação para ser concluída com êxito), a percentagem de falsas aceitações (FRR – False Rejection Rate) de pessoas não autorizadas a usarem a aplicação (acessos fraudulentos) e por final, a uniformidade do funcionamento da aplicação, ou seja, se existem grupos de pessoas incapazes ou com dificuldades em usá-la (pessoas que não podem escreverem a sua assinatura, por exemplo). O cálculo destes dados não é fácil mas pode-se obter uma boa estimativa através de um inquérito às pessoas que usem constantemente o sistema.

2 – quais os melhoramentos exigidos para a futura aplicação: para cada um dos parâmetros referidos anteriormente, têm que ser definidos os objectivos para a nova aplicação. A partir daqui, podemos já ter alguma consideração sobre quais as biometricas a serem usadas.

3 – procurar e escolher a biométrica que será usada e o fabricante: esta escolha deve ser feita em quatro estágios:

a. tipo de biométrica – saber qual o tipo de biometria que se adapta mais à aplicação (o reconhecimento por impressão digital não seria indicada para pessoas que trabalham constantemente com luvas, por exemplo)

b. dispositivo biométrico – determinar se o preço deste é adequado aos rendimentos da empresa, se o seu tamanho é importante e outras caracteristicas relevantes

c. fabricante da biométrica – se o fabricante tem boa reputação, se oferece um bom serviço de qualidade e de fiabilidade ou outro (aqui, o tamanho da empresa não é significativo).

d. fraude – poderá ser a aplicação ‘crackada’ se o hacker souber tanto dela como o seu programador ou conhecer o dispositivo biométrico tão bem como o seu fabricante?

Para facilitar estas escolhas, existem consultores e até os próprios fabricantes que podem ajudar nestas decisões.

4 – efectuar um teste de selecção da técnica escolhida: este é um teste ao dispositivo biométrico, o qual irá validar, em principio, a decisão tomada acerca da biometria usada. Há que ter em conta de que este teste não irá analisar o algoritmo, a implementação ou ainda a electrónica usados no dispositivo, mas sim determinar de que maneira os parâmetros definidos para a aplicação (no primeiro passo) são aperfeiçoados.

5 – implementação da solução biométrica na aplicação: finalmente começa a integração, implementação, planeamento e teste da solução biométrica escolhida, dentro da aplicação. Esta fase implica a cooperação de ambas as partes, tanto do lado da empresa como do lado do fabricante para atingir os critérios pretendidos.

Para alem destes testes, temos ainda que decidir como iremos guardar a referencia do indivíduo. Esta informação pode ser armazenada num crachá ou num cartão, o qual terá que ser introduzido pelo utilizador para realizar a verificação. Alternativamente, os dados podem ser guardados numa base de dados central, sendo usados sempre que for necessária alguma verificação. É claro que esta última exige a manutenção e segurança (backup) da base de dados, e a ligação permanente desta (existência de um servidor) a todos os dispositivos biométricos. O uso de cartões com chip é mais eficiente, poupando-se para alem de recursos, espaço e ainda com a possibilidade de actualização automática da informação.

Agora que nos sentimos mais à vontade sobre esta nova tecnologia, podemos abordar com maior profundidade os vários tipos de biometria existentes ou ainda em evolução. Iremos falar assim do reconhecimento de impressão digital, facial, da voz, da geometria da mão e ainda do reconhecimento através da íris ou da retina.

 

Impressão digital

Esta é a técnica biométrica mais antiga. Ate agora têm sido usadas nos registos policiais para identificar um indivíduo ou ainda nalgumas empresas com o objectivo de verificação.

No caso de uma identificação, uma pesquisa pode demorar algumas horas ou ate alguns dias, dependendo do número de registos a analisar. No caso da policia, estamos a falar de milhões de registos! Por isso, há necessidade de classificar as impressões digitais segundo as suas macro-características, para reduzir o tempo de busca e a complexidade de computação. Antigamente, esta classificação era realizada através de peritos. Recentemente, foram desenvolvidas técnicas de classificação automática, mas no entanto ainda nenhuma demonstrou ser fiável. Outro método é a classificação continua, na qual as impressões digitais não são particionadas em classes. Estas passam a ser caracterizadas por um vector numérico, o qual guarda as suas principais caracteristicas. Desta maneira, é guardado um vector numérico em vez da imagem da impressão, poupando-se bastante espaço.

Quando usada para verificação, esta requer a presença da pessoa para poder provar a sua identidade. Depois basta o indivíduo introduzir um código de identificação, o qual não necessita de ser confidencial. Este serve apenas para informar qual a imagem que deverá ser comparada com o dedo que está a ser analisado.

Como podemos constatar, as impressões digitais são constituídas por uma serie de linhas situadas na superfície do dedo. A maioria dos sistemas usados na comparação de impressões digitais são baseados em minutiae (particularidades da impressão). Minutiae são pontos que representam as terminações e bifurcações dos traços que constituem o modelo da impressão.

Identificação de minutiae

Ate agora, muitas abordagens foram propostas para a extracção automática dos minutiae. Embora apresentam diferenças, a maioria dos métodos transformem a imagem da impressão numa imagem binária através de um algoritmo próprio. A binarização faz com que a imagem seja submetida a uma ‘limpeza’, reduzindo a espessura das linhas a um pixel.

Binarizaçao

Outra maneira de obter estes pontos baseia-se em seguir as linhas da impressão digital até estas acabarem ou se intersectarem com outras. Esta apresenta vantagens no sentido em que, no primeiro método, durante a binarização, alguma informação podia ser perdida no caso da imagem ser de má qualidade. Para além disso, o processo de binarização ainda consome bastante tempo. Assim, esta técnica demonstrou ser mais robusta e eficiente tanto no tempo de execução como na fiabilidade dos resultados.

Mas de todas as maneiras, quaisquer destes métodos estão limitados à qualidade da impressão digital, em que o ruído e deficiências no contraste podem originar falsos dados (ocultar ou gerar minutiae).

Mesmo assim, a técnica de comparação de impressões digitais não deixa de ser o sistema mais barato (o dispositivo usado é um simples scanner) e popular do mundo biométrico, sendo também bastante seguro. O único senão é o facto desta tecnologia não poder ser usada para controlo de grandes quantidades de utilizadores.

 

Reconhecimento facial

Um sistema biométrico baseado no reconhecimento facial pode ser usado em aplicações de identificação criminal. Infelizmente, o desenvolvimento de modelos computacionais para esta técnica representa uma tarefa muito difícil até porque ainda não sabemos como o cérebro humano reconhece faces. O reconhecimento facial requer a resolução de alguns problemas complexos:

localização de faces em ambientes complexos

sensibilidade na alteração da postura ou da iluminação

sensibilidade na mudança de expressões

sensibilidade a bigodes, óculos, corte de cabelo

De uma maneira muito geral, esta técnica consiste em, dado uma imagem em preto e branco (geralmente), localizar todas as faces humanas que possam lá estar contidas (medindo e reconhecendo as fisionomias e os traços do rosto humano através de pontos de referencia – nariz, olhos, boca). Existem três estágios no reconhecimento:

Aproximate location: este localiza todos os objectos elipsóidais

Fine location: o segundo estágio procura melhorar a localização do objecto em causa (provavelmente a cara do indivíduo) através da posição e do tamanho das elipses, originando uma única.

Face verification: esta ultima verifica se todos os objectos encontrados são faces ou não. Este método pode ser aplicado directamente numa imagem direccional (em vez da original) e consiste em procurar através das partes mais profundas ou mais salientes da cara, os olhos, a boca e o nariz.

Estágios do reconhecimento facial

O dispositivo usado é uma câmara de filmar simples. Não requerendo contacto físico, este método pode ser muito útil visto que pode ser usado sem o conhecimento de quem está a ser sondado.

Infelizmente, é falível visto que o uso de bigode postiço ou de óculos, por exemplo, pode comprometer os resultados. O factor preço é um problema também, dado que este é um dos sistemas biométricos mais caros. No entanto, apresenta grandes potencialidades visto que mexe com objectos deformáveis (tornando-se igualmente num dos maiores problemas de reconhecimento), sendo usado geralmente em aeroportos.

 

Íris – retina

A técnica do reconhecimento da íris ou da retina consiste em analisar os círculos e padrões do olho humano, identificando assim o indivíduo sondado.

O processo de analise da íris começa com a aquisição de uma imagem de vídeo que contem o olho e a íris – a parte colorida que envolve a pupila. A seguir, os limites da pupila são definidos, e as pestanas e possíveis reflexos são eliminados. A imagem da íris é processada e codificada num código de 512 bytes, o qual é guardado e usado para comparação.

Código hexadecimal gerado

Ao contrário do que se poderia pensar, a tecnologia usada para o reconhecimento da íris é apenas uma câmara de filmar simples, do mesmo género daquelas que podemos ter em casa. Não usa qualquer tipo de laser que possa pôr em perigo a saúde do utilizador. Este é o sistema biométrico que assegura a maior segurança e estabilidade, pois é difícil reproduzir fraudulosamente a íris da vista humana. É pratico, não necessitando de contacto físico. Tem apenas o único senão de ser o sistema-tipo mais caro. Os peritos recomendam-no em prisões de alta segurança ou em bases militares.

 

Geometria da mão

Este método consiste na extracção das caracteristicas geométricas da mão, através de uma imagem. A limitação desta técnica deve-se ao reduzido número de caracteristicas a analisar, as quais não passam do tamanho e da forma dos dedos e da mão, sendo fácil a sua reprodução.

Analise da geometria da mão

Este sistema pode ser adoptado por aplicações que não necessitam de uma segurança extrema, onde a robustez, o barato e a complexidade são os primeiros requisitos. Ainda é comum ver este associado a outra técnica, geralmente, o reconhecimento por impressões digitais. Assim, quando se desejar a identificação de uma pessoa (menos frequente), é usado o reconhecimento por impressão digital. Quando for exigido apenas a verificação desta (mais frequente), a técnica do reconhecimento da mão será a mais adequada. Hospitais e supermercados encontrarão vantagens na utilização deste método.

Recentemente, tem sido investigado o uso da dermatologia da mão (tipo de pele). Acredita-se que o uso deste método com o da geometria da mão poderá a vir a atingir elevados níveis de fiabilidade e robustez.

 

Voz

Variações anatómicas que ocorrem naturalmente nas pessoas e diferenças na maneira de como foram ensinados a falarem, manifestam-se nas diferentes propriedades acústicas no sinal da sua voz. Analisando e identificando estas diferenças, é possível distinguir indivíduos.

O reconhecimento de voz baseia-se na análise das diferenças fisiológicas do órgão reprodutor de som. O principal aspecto fisiológico do sistema reprodutor de som nos humanos é a forma do aparelho vocal.

Para caracterizar as particularidades deste, o mecanismo reprodutor de voz é representado por um sistema discreto, fazendo com que o aparelho vocal possa ser identificado por uma função de transferencia, a qual irá conter pólos e zeros. Ou seja, a mesma palavra dita pela mesma pessoa em tempos diferentes origina sequências de vectores de informação distintos.

Diferenças na pronúncia da mesma vogal em pessoas diferentes

É por isso que a abordagem da modelação da voz é a de construir um modelo que capte essas variações. Existem dois tipos usados em sistemas de identificação e reconhecimento de voz: o modelo estocástico e o modelo padrão.

O primeiro trata o processo de produção de voz como um processo com parâmetros aleatórios e assume que estes podem ser definidos de uma maneira precisa e especifica.

O segundo tenta modelizar o processo reprodutor de voz como um processo não paramétrico, guardando um número de sequências de vectores de várias pronúncias da mesma palavra da mesma pessoa.

Tanto um como o outro foram desenvolvidos para atingirem o sucesso.

Geralmente, os microfones são escolhidos para análise da voz e das ondas sonoras. Pode ser ideal para o controlo de acesso num computador de secretaria, sendo este método relativamente barato. Mas não deixa de ser falível. Se um dia aparecer rouco ou constipado, a sua identificação poderá estar comprometida.

Muito recentemente, foi pensado numa nova arma contra a pirataria musical. Duas grandes empresas de musica começaram a desenvolver uma nova técnica de identificação: um sistema que identifica os ouvintes de uma determinada musica pela forma como usam as teclas do seu computador. Os utilizadores que pretendem fazer o download de uma determinada musica são identificados através do perfil de utilização das teclas do seu computador. Isto significa que o software cria algo semelhante a um ficheiro personalizado para cada ouvinte, um bilhete de identidade pessoal e intransmissível, que faz com que a musica só possa ser ouvida por esse utilizador.

Até agora falamos apenas de sistemas biométricos de uma maneira independente, cada um apresentando vantagens e desvantagens. A combinação de vários destes sistemas pode tornar o reconhecimento de um indivíduo muito mais preciso, mas obviamente mais caro. É uma maneira de ultrapassar algumas das limitações de sistemas biométricos simples. Um exemplo pode ser o reconhecimento por impressão digital, face e voz. Enquanto que o reconhecimento facial e por voz são rápidos mas pouco fiáveis, o reconhecimento por impressão digital é lento em base de dados grandes mas muito eficiente. Assim, a fusão das características dos três sistemas aumenta a taxa de sucesso na identificação de uma pessoa.

 

Conclusão

Desde há muitos anos, a indústria tem predito uma explosão de aplicações biometricas, as quais iriam banir o uso de cartões ou PIN’s. No entanto, a realidade foi diferente. Este ramo sofreu uma paragem no tempo, sendo apenas configurado e implementado em casos de alta segurança. Mas esta paragem fez com que esta tecnologia se tornasse mais madura.

A tecnologia envolvida na biometria tem evoluído rapidamente nos últimos anos não só pelo aumento das capacidades de processamento, como o desenvolvimento e aperfeiçoamento dos ''periféricos'' (como câmaras e scanners) que têm tornado viável (física e economicamente) o desenvolvimento de aplicações e dispositivos biométricos. Deste modo, a identificação biométrica já tem inúmeras aplicações. Algumas das mais visíveis nos próximos anos serão sem dúvida a sua introdução em ATMs, uma vez que muitos bancos americanos têm já planos para que até 2001 surjam estes sistemas nas suas máquinas de levantamentos. Muitas empresas têm já sistemas desses em funcionamento nos seus escritórios e só nos Estados Unidos as empresas que comercializam sistemas biométricos esperam ter vendas no valor de mil milhões de dólares em 2001!

De certeza que a autenticação biométrica parece ser daquelas tecnologias de que toda a gente concorda ser potencialmente útil, mas esta parece ainda tão longe de nos. Porquê, então está a levar tanto tempo a ser aceite em aplicações simples para acesso a computadores em rede por exemplo? Sem duvida, o preço.

 

Agradecimentos

O autor agradece aos docentes responsáveis pelas cadeiras de CTP/SPE pertencentes ao curso de Engenharia Informática do Departamento de Engenharia Informática da Faculdade de Ciências e Tecnologias da Universidade de Coimbra, pela disponibilidade e paciência demonstradas durante a elaboração deste artigo.

 

Referencias

http://www.sed.pt/: Sistemas e Equipamentos Digitais

http://www.afb.org.uk/: Association For Biometrics

http://biometrics.cse.msu.edu/: Biometrics Research

http://www.iriscan.com/: Iridian Tecnologies

http://www.proglobo.pt/: ProGlobo

http://bias.csr.unibo.it/: Biometrics Information Autonomous Systems

 

Página anterior