Escolar Documentos
Profissional Documentos
Cultura Documentos
Antimalware
Malware inclui vírus, worms, cavalos de Troia, keyloggers, spyware, e adware.
Todos eles invadem a privacidade, roubam informações, danificam o sistema ou
excluem e corrompem os dados.
É importante proteger os computadores e dispositivos móveis com software
antimalware de qualidade. Estão disponíveis os seguintes tipos de programas
antimalware:
Proteção antivírus - Programa que monitora, continuamente, por vírus.
Quando detecta um vírus, o programa avisa o usuário e ele tenta colocar em
quarentena ou excluir o vírus, como mostrado na Figura 1.
Proteção contra adware – O programa procura continuamente por
programas que exibem publicidade em um computador.
Proteção contra phishing – O programa bloqueia endereços IP de sites de
phishing conhecidos na web e avisa o usuário sobre sites suspeitos.
Proteção contra spyware – Programa que varre o computador em busca de
keyloggers e ouros tipos de spyware.
Fontes confiáveis / não confiáveis – O programa avisa o usuário sobre
programas ou sites não seguros que tentam se instalar, antes de um usuário
visitá-los.
Pode ser necessário usar vários programas diferentes e fazer várias varreduras
para remover completamente todos os softwares mal-intencionados. Execute
apenas um programa de proteção contra malware por vez.
Várias empresas de segurança confiáveis, como McAfee, Symantec e Kaspersky,
oferecem proteção completa contra malware para computadores e dispositivos
móveis.
Desconfie de produtos antivírus falsos mal-intencionados que podem aparecer
durante a navegação na Internet. A maioria desses produtos antivírus falso exibe
um anúncio ou um pop-up que parece como uma janela de aviso real do Windows,
como mostra a Figura 2. Geralmente, elas afirmam que o malware está infectando o
computador e solicita ao usuário que o limpe. Clicar em qualquer lugar na janela
pode iniciar o download e a instalação do malware.
Software não aprovado ou não compatível não é apenas um software que é
instalado de forma não intencional em um computador. Também pode vir de
usuários que queriam instalá-lo. Pode não ser mal-intencionado, mas ainda pode
violar a política de segurança. Esse tipo de sistema não compatível pode interferir
no software da empresa ou nos serviços de rede. Os usuários devem remover
software não aprovado imediatamente.
Gerenciamento de patches
Os patches são atualizações de código que os fabricantes fornecem para evitar que
um vírus ou um worm recém-descoberto façam um ataque bem-sucedido. De
tempos em tempos, os fabricantes combinam patches e atualizações em uma
aplicação completa de atualização chamada de service pack. Muitos ataques
devastadores de vírus poderiam ter sido muito menos graves, se mais usuários
tivessem baixado e instalado o service pack mais recente.
O Windows verifica, regularmente, o site Windows Update, por atualizações de alta
prioridade e que podem ajudar a proteger o computador contra as mais recentes
ameaças de segurança. Essas atualizações incluem atualizações de segurança,
atualizações críticas e service packs. Dependendo da configuração escolhida, o
Windows baixa e instala, automaticamente, todas as atualizações de alta prioridade
que o computador precisa ou notifica o usuário conforme essas atualizações
estiverem disponíveis.
Algumas organizações podem querer testar um patch antes de implantá-lo em toda
a organização. A organização usaria um serviço para gerenciar patches localmente,
em vez de usar o serviço de atualização on-line do fornecedor. Os benefícios de
usar um serviço de atualização automática de patch incluem o seguinte:
Os administradores podem aprovar ou recusar atualizações
Os administradores podem forçar a atualização de sistemas para uma data
específica
Os administradores podem obter relatórios sobre a atualização necessária
para cada sistema
Cada computador não tem que se conectar ao serviço do fornecedor para
baixar os patches. Um sistema obtém a atualização de um servidor local
Os usuários não podem desativar ou contornar as atualizações
Um serviço de patches automáticos fornece aos administradores um ambiente mais
controlado.
Comunicações seguras
Ao se conectar à rede local e compartilhar arquivos, a comunicação entre
computadores permanece dentro dessa rede. Os dados permanecem seguros
porque são mantidos fora de outras redes e fora da Internet. Para comunicar e
compartilhar recursos por uma rede que não seja segura, os usuários empregam
uma rede privada virtual (VPN).
A VPN é uma rede privada que conecta usuários ou sites remotos por uma rede
pública, como a Internet. O tipo mais comum de VPN acessa uma rede privada
corporativa. A VPN usa conexões seguras dedicadas, roteadas pela Internet, da
rede corporativa privada para o usuário remoto. Quando conectados à rede privada
corporativa, os usuários se tornam parte dela e têm acesso a todos os serviços e
recursos, como se estivessem fisicamente conectados à LAN corporativa.
Os usuários de acesso remoto devem ter o cliente VPN instalado em seus
computadores para formar uma conexão segura com a rede privada corporativa. O
software do cliente VPN criptografa os dados antes de enviá-los pela Internet para o
gateway VPN na rede privada corporativa. Os gateways VPN estabelecem,
gerenciam e controlam conexões VPN, também conhecidas como túneis VPN.
Os sistemas operacionais incluem um cliente VPN que o usuário configura para uma
conexão VPN.
WEP
Um dos componentes mais importantes da computação moderna são os
dispositivos móveis. A maioria dos dispositivos encontrados nas redes atuais são
laptops, tablets, smartphones e outros dispositivos sem fio. Dispositivos móveis
transmitem dados usando sinais de rádio que qualquer dispositivo com antena
compatível pode receber. Por esse motivo, o setor de computadores desenvolveu
um conjunto de padrões, produtos e dispositivos de segurança sem fio ou móveis.
Esses padrões criptografam as informações transmitidas via ondas aéreas pelos
dispositivos móveis.
WEP (Wired Equivalent Privacy, Privacidade equivalente por cabo) é um dos
primeiros padrões de segurança Wi-Fi amplamente usado. O padrão WEP fornece
autenticação e proteções por criptografia. Os padrões WEP são obsoletos, mas
muitos dispositivos ainda suportam WEP para compatibilidade com versões
anteriores. O padrão WEP se tornou um padrão de segurança Wi-Fi em 1999,
quando a comunicação sem fio estava apenas engatinhando. Apesar de revisões no
padrão e de um tamanho de chave maior, o WEP tinha inúmeras falhas de
segurança. Os criminosos virtuais podem quebrar senhas WEP em minutos, usando
software gratuito disponível. Apesar das melhorias, o WEP permanece altamente
vulnerável e os usuários devem atualizar os sistemas que dependem do WEP.
WPA/WPA2
A próxima grande melhoria na segurança sem fio foi a introdução de WPA e WPA2.
O WPA (Wi-Fi Protected Access, Acesso protegido por WiFi) foi a resposta do setor
de computadores para a fraqueza do padrão WEP. A configuração mais comum de
WPA é WPA-PSK (Pre-Shared Key, Chave pré-compartilhada). As chaves usadas
pelo WPA são 256 bits, um aumento significativo sobre as chaves de 64 bits e 128
bits usadas no sistema WEP.
O padrão WPA forneceu várias melhorias de segurança. Primeiro, o WPA fornecia
verificações de integridade da mensagem (Message Integrity Checks - MIC) que
poderiam detectar se um invasor tinha capturado e alterado os dados transmitidos
entre o ponto de acesso sem fio e um cliente sem fio. Outra melhoria importante de
segurança foi o protocolo TKIP (Temporal Key Integrity Protocol, Protocolo de
integridade da chave temporal). O padrão TKIP proporcionou a capacidade de
tratar, proteger e alterar melhor as chaves de criptografia. O AES (Advanced
Encryption Standard, Padrão de criptografia avançada) substituiu o TKIP por um
melhor gerenciamento de chaves e proteção de criptografia..
O WPA, assim como seu antecessor, o WEP, incluiu várias vulnerabilidades
amplamente reconhecidas. Como resultado, o lançamento do padrão WPA2 (Wi-Fi
Protected Access II, Acesso protegido por Wi-Fi II) aconteceu em 2006. Uma das
melhorias de segurança mais significativas do WPA para o WPA2 foi o uso
obrigatório de algoritmos AES e a introdução do Modo de cifra do contador com
protocolo de código de autenticação de mensagem de encadeamento de bloco
(CCM) como um substituto para TKIP.
Autenticação mútua
Uma das grandes vulnerabilidades das redes sem fio é o uso de access points não
autorizados. Access points são os dispositivos que se comunicam com os
dispositivos sem fio e os conectam de volta à rede cabeada. Qualquer dispositivo
que tenha uma interface transmissora sem fio e cabeada ligada a uma rede pode,
possivelmente, agir como access point não autorizado. O access point não
autorizado pode imitar um access point autorizado. O resultado é que os
dispositivos sem fio na rede sem fio estabelecem comunicação com o access point
não autorizado, em vez de com o access point autorizado.
O impostor pode receber solicitações de conexão, copiar os dados na solicitação e
encaminhar os dados para o access point autorizado da rede. Esse tipo de ataque
man in the middle é muito difícil de detectar e pode resultar em credenciais de logon
roubadas e dados transmitidos. Para evitar access points não autorizados, o setor
de computadores desenvolveu a autenticação mútua. A autenticação mútua,
também chamada de autenticação bidirecional, é um processo ou tecnologia em
que as duas entidades de um link de comunicação se autenticam. Em um ambiente
de rede sem fio, o cliente faz a autenticação no access point e o access point
autentica o cliente. Essa melhoria permitiu aos clientes detectar access points não
autorizados, antes de se conectarem a esse dispositivo.
Criptografia de arquivo
A criptografia é uma ferramenta usada para proteger os dados. A criptografia
transforma os dados usando um algoritmo complicado para torná-los ilegíveis. Uma
chave especial transforma as informações ilegíveis novamente em dados legíveis.
Programas são usados para criptografar arquivos, pastas e, até mesmo, unidades
inteiras.
O EFS (Encrypting File System, Sistema de Criptografia de Arquivos) é uma
característica do Windows que pode criptografar dados. A implementação do
Windows EFS leva-o diretamente para uma conta de usuário específica. Apenas o
usuário que criptografou os dados poderá acessar os arquivos ou pastas
criptografados.
Um usuário também pode escolher criptografar um disco rígido inteiro no Windows,
usando um recurso chamado BitLocker. Para usar BitLocker, pelo menos dois
volumes devem estar presentes em um disco rígido.
Antes de usar o BitLocker, o usuário precisa ativar o TPM (Trusted Platform Module,
Módulo de plataforma confiável) na BIOS. O TPM é um chip especializado instalado
na placa-mãe. O TPM armazena informações específicas do sistema host, como
chaves de criptografia, certificados digitais e senhas. Os aplicativos, como o
BitLocker, que usam criptografia, podem usar o chip de TPM. Clique em
Administração do TPM para visualizar os detalhes do TPM, como mostrado na
Figura.
O BitLocker To Go criptografa unidades removíveis. O BitLocker To Go não usa um
chip de TPM, mas ainda fornece criptografia dos dados e exige uma senha.
Sistema e backups de dados
Uma organização pode perder dados se criminosos virtuais roubá-los, se houver
falha do equipamento ou ocorrer um desastre. Por isso, é importante realizar,
regularmente, um backup dos dados.
Um backup dos dados armazena uma cópia das informações de um computador na
mídia de backup removível. O operador armazena a mídia de backup em um local
seguro. Fazer backup de dados é uma das formas mais eficazes de proteção contra
perda de dados. Se houver falha no hardware do computador, o usuário pode
restaurar os dados do backup, depois que o sistema estiver funcional.
A política de segurança da organização deve incluir backups dos dados. Os
usuários devem realizar backups dos dados regularmente. Os backups de dados
são, normalmente, armazenados em outro local, para proteger a mídia de backup,
se algo acontecer com a instalação principal.
Estas são algumas considerações para backup de dados:
Frequência - Os backups podem levar muito tempo. Às vezes é mais fácil
fazer um backup completo mensal ou semanal, e depois backups parciais
frequentes de todos os dados que tiverem mudado, desde o último backup
completo. No entanto, ter muitos backup parciais aumenta o tempo
necessário para restaurar os dados.
Armazenamento - Para segurança adicional, os backups devem ser
transportados para um local de armazenamento externo aprovado em uma
rotação diária, semanal ou mensal, conforme estipulado pela política de
segurança.
Segurança-Proteja os backups com senhas. Em seguida, o operador digita a
senha, antes de restaurar os dados na mídia de backup.
Validação - Valide sempre os backups para garantir a integridade dos dados.
Temporizadores de logoff
Um funcionário se levanta e deixa o seu computador para fazer uma pausa. Se o
funcionário não tomar nenhuma medida para proteger sua estação de trabalho,
qualquer informação nesse sistema estará vulnerável a um usuário não autorizado.
Uma organização pode tomar as seguintes medidas para impedir o acesso não
autorizado:
Limite de Tempo de inatividade e Bloqueio de Tela
Os funcionários podem ou não podem fazer logoff do computador quando saem do
local de trabalho. Portanto, é uma prática recomendada de segurança configurar um
temporizador de inatividade que fará, automaticamente, o logoff do usuário e
bloqueará a tela, depois de um período especificado. O usuário deve fazer login
novamente para desbloquear a tela.
Horário de Login
Em algumas situações, uma organização pode querer que os funcionários façam
logon durante horas específicas, como das 7 horas às 18 horas. O sistema bloqueia
logons durante as horas que estão fora do horário de logon permitido.
Contas privilegiadas
Os criminosos virtuais exploram as contas com privilégios, pois são as contas mais
poderosas da organização. Contas com privilégios têm as credenciais para acessar
sistemas e fornecem acesso elevado e irrestrito. Os administradores usam essas
contas para implantar e gerenciar sistemas operacionais, aplicativos e dispositivos
de rede. A figura resume os tipos de contas com privilégios.
A organização deve adotar as seguintes melhores práticas para proteger as contas
com privilégios:
Identificar e reduzir o número de contas com privilégios
Aplicar o princípio de menor privilégio
Estabelecer um processo de extinção dos direitos, quando os funcionários
saem ou mudam de emprego
Eliminar contas compartilhadas com senhas que não expiram
Armazenar a senha de forma segura
Eliminar as credenciais compartilhadas por vários administradores
Alterar automaticamente as senhas de contas com privilégio a cada 30 ou 60
dias
Registro de sessões com privilégios
Implementar um processo para alterar senhas incorporadas para scripts e
contas de serviço
Registrar todas as atividades do usuário
Gerar alertas para comportamento incomum
Desativar contas inativas com privilégios
Use a autenticação de vários fatores para todos os acessos administrativos
Implementar um gateway entre o usuário final e os recursos ativos sensíveis
para limitar a exposição da rede ao malware
Bloquear contas com privilégios é fundamental para a segurança da organização.
Proteger essas contas deve ser um processo contínuo. Uma organização deve
avaliar esse processo para realizar os ajustes necessários para melhorar a
segurança.
Políticas de grupo
Na maioria das redes que usam computadores Windows, um administrador
configura o Active Directory com domínios em um Windows Server. Computadores
Windows são membros de um domínio. O administrador configura uma política de
segurança de domínio que se aplica a todos os computadores que participam do
domínio. As diretivas de contas são configuradas automaticamente, quando um
usuário faz login no Windows.
Quando um computador não faz parte de um domínio do Active Directory, o usuário
configura políticas por meio da Política de Segurança Local do Windows Em todas
as versões do Windows exceto na Home Edition, digite secpol. msc no comando
Executar para abrir a ferramenta de Política de Segurança Local.
Um administrador configura políticas de conta de usuário, como políticas de senha e
políticas de bloqueio, expandindo o menu Políticas de conta > Política de senha.
Com as configurações mostradas na Figura 1, os usuários devem alterar suas
senhas a cada 90 dias e usar essa nova senha por pelo menos um (1) dia. As
senhas devem conter oito (8) caracteres e três das quatro categorias a seguir: letras
maiúsculas, letras minúsculas, números e símbolos. Por último, o usuário pode
reutilizar uma senha somente depois de 24 senhas exclusivas.
Uma política de bloqueio de conta bloqueia um computador por uma período
configurado quando ocorrem muitas tentativas de logon incorretas. Por exemplo, a
política mostrada na Figura 2 permite que o usuário digite o nome de usuário e/ou
senha errados cinco vezes. Depois de cinco tentativas, a conta é bloqueada por 30
minutos. Depois de 30 minutos, o número de tentativas é redefinido para zero e o
usuário pode tentar entrar novamente.
Mais configurações de segurança estão disponíveis ao expandir a pasta Políticas
locais. Uma política de auditoria cria um arquivo de log de segurança usado para
rastrear os eventos listados na Figura 3.
Alimentação
Uma questão crítica na proteção de sistemas de informação são os sistemas de
energia elétrica e as considerações sobre energia. Um fornecimento contínuo de
energia elétrica é fundamental nas enormes instalações de armazenamento de
dados e de servidores atuais. Aqui estão algumas regras gerais na construção de
sistemas eficazes de alimentação elétrica:
Data centers devem estar em uma fonte de alimentação diferente do resto do
edifício
Fontes de alimentação redundantes: dois ou mais feeds (fontes de
alimentação) provenientes de duas ou mais subestações elétricas
Condições de alimentação
Backup de sistemas de energia são, muitas vezes, necessários
Uma UPS deve estar disponível para sistemas de desligamento normais
Uma organização deve proteger-se de vários problemas, ao projetar seus sistemas
de fornecimento de energia elétrica.
Excesso de energia
Pico: alta tensão momentânea
Sobrecarga: alta tensão prolongada
Perda de energia
Falha: perda momentânea de energia
Blackout - Perda completa de energia
Degradação de energia
Sag/dip: baixa tensão momentânea
Queda de energia: baixa tensão prolongada
Corrente de Inrush (Pico de Corrente): sobrecarga inicial de energia
Aquecimento, ventilação e ar-condicionado (HVAC)
Sistemas HVAC são críticos para a segurança de pessoas e sistemas de
informação nas instalações da empresa. Ao projetar instalações modernas de TI,
esses sistemas desempenham um papel muito importante na segurança geral.
Sistemas HVAC controlam o meio ambiente (temperatura, umidade, fluxo de ar e
filtragem do ar) e devem ser planejados e operados juntamente com outros
componentes do data center, como hardware de computação, cabeamento,
armazenamento de dados, proteção contra incêndio, sistemas de segurança física e
energia. Quase todos os dispositivos de hardware de computador físicos vêm com
requisitos ambientais que incluem temperatura aceitável e faixas de umidade. Os
requisitos ambientais estão em um documento de especificações do produto ou em
um guia de planejamento físico. É fundamental manter esses requisitos ambientais
para evitar falhas de sistema e prolongar a vida dos sistemas de TI. Sistemas HVAC
comerciais e outros sistemas de gerenciamento de edifício agora se conectam à
Internet para monitoramento e controle remotos. Eventos recentes mostraram que
esses sistemas (geralmente chamados “sistemas inteligentes”) também criam
grandes implicações de segurança.
Um dos riscos associados a sistemas inteligentes é que os indivíduos que acessam
e gerenciam o sistema trabalham para um empreiteiro ou um fornecedor
terceirizado. Como os técnicos de HVAC precisam conseguir encontrar informações
rapidamente, dados vitais tendem ser armazenados em diferentes lugares,
tornando-os acessíveis para um número ainda maior de pessoas. Essa situação
permite que uma ampla gama de indivíduos, inclusive associados de empreiteiros,
obtenham acesso às credenciais de um sistema HVAC. A interrupção desses
sistemas pode representar um risco considerável para a segurança da informação
da empresa.
Monitoramento de hardware
O monitoramento de hardware geralmente é encontrado em grandes parques de
servidores (Server farm). Um parque de servidores (server farm) é uma instalação
que abriga centenas ou milhares de servidores para empresas. A Google tem vários
parques de servidores em todo o mundo para fornecer ótimos serviços. Mesmo as
menores empresas estão construindo parques de servidores locais para abrigar o
número crescente de servidores necessários para a realização de seus negócios.
Sistemas de monitoramento de hardware são usados para monitorar a saúde
desses sistemas e para minimizar o tempo de inatividade do servidor e do aplicativo.
Sistemas de monitoramento de hardware modernos usam portas USB e portas de
rede para transmitir a condição de temperatura da CPU, status da fonte de
alimentação, velocidade e temperatura do ventilador, status da memória, espaço em
disco e status da placa de rede. Sistemas de monitoramento de hardware permitem
que um técnico monitore centenas ou milhares de sistemas em um único terminal.
Como o número de parques de servidores continua a crescer, os sistemas de
monitoramento de hardware se tornaram uma contramedida de segurança
essencial.
Centros de operação
O NOC (Network Operation Center, Centro de operação de rede) é um ou mais
locais que contêm as ferramentas que fornecem aos administradores um status
detalhado da rede da empresa. O NOC é a base da solução de problemas de rede,
monitoramento de desempenho, distribuição e atualizações de software e
gerenciamento de dispositivo.
O SOC (Security Operation Center, Centro de operação de segurança) é um site
dedicado que monitora, avalia e defende os sistemas de informação da empresa,
como sites, aplicações, bancos de dados, data centers, redes, servidores e sistemas
de usuários. Um SOC é uma equipe de analistas de segurança que detecta, analisa,
responde, relata e previne incidentes de segurança cibernética.
Essas duas entidades usam uma estrutura de camadas hierárquicas para processar
eventos. A primeira camada trata todos os eventos e escalona qualquer evento que
não puder processar para a segunda camada. A equipe da camada 2 analisa o
evento em detalhes para tentar resolvê-lo. Se não conseguirem, eles escalonam o
evento para a Camada 3, os especialistas no assunto.
Para medir a eficácia geral de um centro de operação, uma empresa irá realizar
exercícios e treinos realistas. Um exercício de simulação tabletop é um
procedimento estruturado por uma equipe para simular um evento e avalia a eficácia
do centro de operação. Uma medida mais eficaz é simular uma invasão completa,
sem nenhum aviso. Isso envolve o uso de uma equipe vermelha (Red Team), um
grupo de indivíduos independentes que desafia os processos dentro de uma
empresa, para avaliar a eficácia da empresa. Por exemplo, a equipe vermelha deve
atacar um sistema de missão crítica e incluir o reconhecimento e ataque,
escalonamento de privilégios e acesso remoto
Equipamento VoIP
Voz sobre IP (VoIP) usa redes como a Internet para fazer e receber chamadas de
telefone. O equipamento necessário para VoIP inclui uma conexão com a Internet e
um telefone. Várias opções estão disponíveis como configuração do telefone:
Um telefone tradicional, com um adaptador (o adaptador atua como uma
interface de hardware entre um telefone tradicional, analógico e uma linha
digital VoIP)
Um telefone ativado para VoIP
Software VoIP instalado em um computador
A maioria dos serviços de VoIP do consumidor usam a Internet para chamadas de
telefone. Muitas organizações, no entanto, usam suas redes privadas porque elas
fornecem mais segurança e melhor qualidade de serviço. A segurança de VoIP só é
confiável se houver uma segurança de rede subjacente. Os criminosos virtuais
direcionam esses sistemas para obter acesso a serviços de telefone gratuitos,
espionar telefonemas, ou para afetar o desempenho e a disponibilidade.
Implemente as seguintes contramedidas para proteger o VoIP:
Criptografe os pacotes de mensagens de voz para proteger contra
espionagem.
Use o SSH para proteger gateways e switches.
Altere todas as senhas padrão.
Use um sistema de detecção de invasão para detectar ataques, como
envenenamento ARP.
Use autenticação forte para mitigar o spoofing de registro (os criminosos
virtuais roteiam todas as chamadas recebidas da vítima para eles),
representação de proxy (engana a vítima para se comunicar com um proxy
falso configurado pelos criminosos virtuais) e sequestro de chamadas (a
chamada é interceptada e reencaminhada para um caminho diferente, antes
de chegar ao destino).
Implemente firewalls que reconhecem VoIP para monitorar os streams e filtrar
sinais anormais.
Quando a rede cair, as comunicações de voz também cairão.
Biometria
A biometria descreve os métodos automatizados de reconhecimento de um
indivíduo com base em uma característica fisiológica ou comportamental. Sistemas
de autenticação de biometria incluem medições da face, impressão digital,
geometria da mão, íris, retina, assinatura e voz. Tecnologias de biometria podem ser
a base da identificação altamente segura e de soluções de verificação pessoal. A
popularidade e o uso de sistemas de biometria aumentou devido ao aumento do
número de falhas de segurança e de fraudes nas transações. A biometria oferece
transações financeiras confidenciais e privacidade de dados pessoais. Por exemplo,
a Apple usa a tecnologia de impressão digital em seus smartphones. A impressão
digital do usuário desbloqueia o dispositivo e acessa vários aplicativos, como
aplicativos de bancos ou de pagamentos on-line.
Ao comparar sistemas de biometria, há vários fatores importantes a considerar,
incluindo a precisão, a velocidade ou a taxa de transferência, a aceitabilidade pelos
usuários, a singularidade do órgão biométrico e ação, resistência à falsificação,
confiabilidade, requisitos de armazenamento de dados, tempo de inscrição e
invasão da varredura. O fator mais importante é a precisão. A precisão é expressa
em taxas e tipos de erro.
A primeira taxa de erro é erros de tipo I ou rejeições falsas. Um erro de tipo I rejeita
uma pessoa que se registra e é um usuário autorizado. Em controle de acesso, se o
requisito é manter os bandidos afastados, rejeição falsa é o erro menos importante.
No entanto, em muitas aplicações biométricas, rejeições falsas podem ter um
impacto muito negativo no negócio. Por exemplo, um banco ou uma loja de varejo
precisa autenticar o saldo da conta e a identidade do cliente. Rejeição falsa significa
que a transação ou a venda está perdida e o cliente fica chateado. A maioria dos
banqueiros e varejistas estão dispostos a permitir algumas aceitações falsas, desde
que haja um mínimo de rejeições falsas.
A taxa de aceitação é indicada como uma percentagem e é a taxa na qual um
sistema aceita indivíduos que cancelaram a inscrição ou impostores como usuários
autênticos. Aceitação falsa é um erro de tipo II. Erros de tipo II permitem a entrada
de invasores e, portanto, são considerados o erro mais importante em um sistema
de controle de acesso de biometria.
O método mais utilizado para medir a precisão da autenticação de biometria é a
CER (Crossover Error Rate, Taxa de erro de Crossover). A CER é a taxa em que a
taxa de rejeições falsas e a taxa de aceitações falsas são iguais, como mostrado na
figura.