O cartão bancário como segundo fator de autenticação

Um fator já não chega

Num mundo em que o crime se concentra, cada vez mais, na realidade digital, o modelo de passwords já não é suficiente. Progressivamente, seja de forma voluntária ou por imposição de parceiros ou de regulação, a adoção de múltiplos fatores de autenticação tem-se generalizado. Seja para alteração de equipamento, ativação do cartão, autorização de transações mais elevadas, acesso a dados confidenciais ou qualquer outra ação que requeira maior segurança, a adoção de múltiplos fatores de autenticação é essencial.

Dois fatores… mas quais?

Os fatores de autenticação podem passar pela posse (algo que tenho), pelo conhecimento (algo que sei) e pela identidade (algo que sou). Uma vez que o reconhecimento de identidade traz atualmente muitos desafios ao nível tecnológico e da privacidade dos dados, as soluções mais comuns têm passado por fatores associados à posse e ao conhecimento. Para esse efeito, são usuais os seguintes fatores de autenticação adicionais à utilização da app em telemóvel:

• SMS OTP (One Time Password): este é um fator de segurança considerado obsoleto pelo NIST – o instituto norte americano para “Standards and Technology”
• App Token: solução de usabilidade fraca uma vez que obriga à utilização de duas apps em simultâneo e de reduzida segurança porque muitas vezes ambas as apps estão no mesmo equipamento, reduzindo a experiência do utilizador no momento de fazer as suas operações bancárias
• Cartão Matriz: solução de custos elevados (manutenção dos cartões e tudo o que implica a sua gestão e custos de envio por correio) e usabilidade fraca uma vez que obriga à utilização de um cartão adicional

Recebi um SMS do meu banco…

Esta é uma expressão habitual no relato de várias reclamações de consumidores.

O grau de sofisticação de fraude online no roubo de credenciais e até na receção de OTP torna muito difícil de distinguir um esquema de fraude de uma experiência real com o banco. Se anteriormente havia alguns indícios que facilitavam a identificação de esquemas fraudulentos, atualmente os SMS aparecem integrados em conversações anteriores com os bancos, as páginas web são réplicas dos sites oficiais, os textos são escritos criteriosamente em português correto e o dia-a-dia acelerado dos consumidores fá-los muitas vezes baixar a guarda perante pedidos de autenticação.

O cartão é melhor que o SMS

O cartão bancário que qualquer utilizador já tem atualmente, pode ser uma solução de autenticação segura (PSD2: prova de posse) com um hardware que o cliente já tem na sua posse. O cartão, com a marca do banco que o utilizador conhece, está na sua carteira todos os dias e é usado frequentemente em pagamentos contactless.

Ao tocar com este cartão num telemóvel por alguns segundos, usando a tecnologia NFC (Near Field Communication) poderá efetuar a autenticação. O NFC é uma tecnologia que permite que dois dispositivos comuniquem quando estão próximos, normalmente a poucos centímetros. Neste caso, sendo o cartão bancário já atualmente equipado com uma antena NFC, ao tocar no telemóvel, o leitor NFC lê as informações do cartão e envia-as para a aplicação do banco para autenticação.

Este método evita a utilização de passwords de utilização única (OTP) enviadas por SMS ou por exemplo, a verificação de números do cartão matriz. Além de mais seguro, uma vez que exige a posse de um cartão físico que esteja ativo, é mais conveniente eliminando a necessidade de introdução manual de um código. Adicionalmente, é fácil de usar, com um objeto já familiar ao utilizador e com a marca de confiança do banco, o processo de autenticação é muito rápido pois as informações do cartão são lidas e transmitidas rapidamente.

Este tipo de autenticação pode ser usado para formalizar o processo de alteração de equipamento móvel, para autorizar a realização de transações de forma segura e impedir o acesso não autorizado a informações confidenciais, entre muitos outros casos de uso.

O futuro que é presente

Esta é uma solução já a funcionar e que, na prática, se traduz num SDK (Software Development Kit) que pode ser integrado na aplicação atual do banco. Com esta funcionalidade, o telemóvel reconhece o cartão e exige-o como fator de autenticação. Atualmente disponível para Android, ainda não é possível utilizar em iPhone, uma vez que a Apple não disponibiliza o acesso ao NFC por outras entidades para efeitos de transações financeiras. No entanto, prevê-se que, em breve, esta seja uma questão ultrapassada, estando, assim, este tipo de solução disponível para todos os equipamentos equipados com NFC.

Informe-se das opções disponíveis junto do seu parceiro de soluções de pagamento.