Autenticação: identificação ou verificação?Esses termos são encontrados em qualquer literatura sobre biometria. Muitas vezes, fornecedores diferentes usam os mesmos termos com definições e objetivos diferentes. Uma das melhores definições disponíveis na literatura de segurança e biometria é a de Hossein Bidgoli, em sua coleção “Handbook of information security” (Published by John Wiley and Sons, 2006 – ISBN 0471222011, 9780471222019).

Bidgoli não quer criar as definições ideais, mas tenta somente explicar o que cada termo significa na literatura sobre biometria. Normalmente usamos a palavra autenticação, como uma descrição genérica do processo de autorização para que um indivíduo tenha acesso a ativos ou serviços.

Esse processo, como definiu a U.K.’s e-Government Unit (2002) pode ser dividido em dois estágios:

Registro: é o processo onde o indivíduo ganha uma credencial, como um username ou certificado digital, para ser usado no processo de autenticação. O ideal é que este indivíduo possa provar com documentos e presença física que ele é quem diz ser no momento do registro.

Autenticação: é o processo em que a identidade eletrônica é verificada e validade por um sistema de informação, para uma determinada situação, usando a credencial que foi emitida no registro.

Isso é “chover no molhado” para o mundo de segurança da informação. Dificilmente outras definições de autenticação serão muito diferentes dessa que foi definida acima. Mas quando entramos no mundo da biometria, os termos verificação e identificação assumem significados especiais.

Verificação: é o processo biométrico que vai determinar a validade de uma identidade apresentada. Conceitualmente isso pode ser entendido como o processo de comparar um a um (1:1) a amostra da característica biométrica apresentada com o template biométrico que foi registrado para determinar se são do mesmo indivíduo. Por exemplo: colhe-se a impressão digital do dedo indicador da mão direita de um indivíduo. No processo de verificação, ele apresenta sua digital do dedo indicador da mão direita para comparação com aquele que foi colhido no registro. Como resultado, teremos somente duas respostas: sim, é o mesmo indivíduo, ou não, são indivíduos distintos.

Identificação: é o processo biométrico que identifica um indivíduo, por suas características biométricas, dentro de uma base de dados registrada. Conceitualmente esse é um processo de comparação de um para muitos (1:N), onde se apresenta uma amostra da característica biométrica e, busca-se em uma base de templates biométricos registrados, a qual indivíduo pertence aquela amostra. Como resultado, teremos somente uma resposta: um único indivíduo em que a comparação da amostra com o template é aceita.

Mas para que não haja mais dúvidas quanto aos termos e seus significados, a ISO – International Organization for Standardization em seu Comitê Técnico JTC 1 (Joint ISO/IEC Technical Committee), subcomitê SC 37 que trata dos padrões internacionais relacionados à biometria (criado em 2002), vem publicando desde 2002 o Harmonized Biometric Vocabulary, que teve sua 10ª edição lançada em dezembro de 2008. Este documento coloca definitivamente uma pedra nas várias definições e oferece ao mercado uma nomenclatura única e oficial.

No Vocabulário Biométrico Harmonizado da ISO/IEC, encontramos as seguintes definições para os termos em questão:

Autenticação: esse termo já foi usado como sinônimo de aplicação para verificação biométrica, função de verificação biométrica, mas também para sinônimo de aplicação de identificação biométrica e função de identificação biométrica. Usar este termo como sinônimo de verificação biométrica ou identificação biométrica não é mais aceito. O ideal é que se entenda autenticação no ambiente da biometria, como: reconhecimento biométrico.

Registro: o ato ou processo de registro ou de ser registrado. O mesmo que enrolment, que é o ato de capturar uma característica biométrica e arquivá-la em uma base de dados ou em local privativo ao próprio indivíduo (ex. smartcard)

Identificação: o mais comumente usado hoje é: identificar, que é o processo de busca biométrica em uma base de dados biométricos capturados, para achar e indicar um identificador de referência biométrica atribuído a um único indivíduo.

Verificação: o mais comumente usado hoje é: verificar, que é o processo de confirmar uma determinada característica biométrica através de comparações biométricas.

A partir de agora, estas serão as definições que usaremos na CFSEC Security Architects para os termos discutidos acima.

Você gostaria de receber as atualizações da CFSEC? Assine o feed, Clique aqui.