No mundo acelerado da identidade digital, a diferença entre detecção de presença passiva e ativa é frequentemente mal compreendida. A presença ativa exige que uma pessoa siga instruções ou execute uma ação como mover a cabeça da esquerda para a direita ou de cima para baixo, na expectativa de que isso crie atrito para o invasor. A presença passiva não exige que a pessoa execute nenhuma tarefa, tornando-se uma experiência mais inclusiva para pessoas com deficiências que podem limitar sua capacidade de seguir as instruções. Mas será que ela oferece níveis adequados de segurança?
É hora de desmistificar e expor a verdade: simplicidade sofisticada não significa segurança fraca.
A presença passiva é um salto monumental em relação a métodos mais complicados, porque verifica não apenas se uma pessoa real está presente, mas se é a pessoa certa e se ela está verificando sua identidade naquele momento.
Mito 1: Nenhuma ação do usuário significa que é menos seguro do que métodos ativos
Realidade: Isso está errado. A facilidade para o usuário mascara um incrível poder tecnológico. A vivacidade ativa, que exige que você pisque ou vire a cabeça, depende de desafios previsíveis. E desafios previsíveis são exatamente o que invasores sofisticados, munidos de deepfakes e vídeos pré-gravados, podem explorar. Eles também criam grandes obstáculos de acessibilidade, impactando a experiência do usuário e a adoção.
A atividade passiva não requer nenhuma ação do usuário, mas nem todos os métodos são criados de formas iguais, então tempo é fundamental entender as diferenças.
- Sistemas de quadro único/selfie são rápidos, mas notoriamente vulneráveis a fotos 2D, máscaras 3D e ataques de injeção, pois analisam apenas uma imagem e não possuem dados do dispositivo. Além disso, costumam gerar experiências frustrantes para o usuário.
- Os métodos Multi-Frame capturam mais pontos de dados (como movimento) e podem analisar metadados do dispositivo para melhor segurança, melhorando as fraquezas do quadro único.
- O Desafio-Resposta Passivo é o padrão ouro. Ele desafia o usuário de forma única, sem que ele faça nada, analisando sinais sutis e aleatórios. Isso proporciona segurança superior e resistente a fraudes contra deepfakes e ataques de injeção, combinado com uma experiência do usuário inclusiva e fluida.
Em essência, simples não significa fraco. Os sistemas mais avançados são passivos porque foram projetados para uso sem esforço e segurança robusta de última geração.
Mito 2: A atividade ao vivo é melhor no combate a fraudes avançadas, como deepfakes
Realidade: Muitas vezes, ocorre o oposto. A tecnologia deepfake é excelente em imitar ações humanas. Portanto, pedir para alguém piscar ou mover a cabeça cai perfeitamente nas mãos de um deepfake. Um invasor pode criar um deepfake que execute perfeitamente esses desafios ativos.
Soluções avançadas de vivacidade passiva contam com anti-spoofing de última geração em seu núcleo. Elas não buscam apenas um piscar de olhos; elas analisam a integridade da captura biométrica em si, interações sutis de luz e outros sinais que um deepfake não consegue copiar. Um serviço gerenciado de detecção e resposta, que impulsiona atualizações contínuas para garantir proteção contra ameaças em rápida evolução, fortalece ainda mais as defesas.
Mito 3: É muito simples para ser realmente confiável
Realidade: A “simplicidade” é puramente para o usuário. O verdadeiro poder está nos algoritmos sofisticados, na IA e nos modelos de aprendizado de máquina que circulam em segundo plano. Esses sistemas processam rapidamente grandes quantidades de dados, encontrando pequenas anomalias que revelam uma falsificação.
A atividade passiva visa tornar a segurança robusta fácil e universalmente acessível, e não enfraquecê-la. Ao não exigir nada do usuário, ela garante segurança consistente e de alto nível para todos, sem criar um ponto fraco que possa ser explorado por fraudadores.
A vantagem clara
A disponibilidade passiva não é um atalho; é uma estratégia de segurança mais inteligente e avançada. Ao proporcionar uma experiência de usuário descomplicada, juntamente com defesas robustas e à prova de futuro contra as falsificações digitais e físicas mais astutas, ela oferece uma solução segura, inclusiva e escalável para aplicações críticas, especialmente para serviços governamentais.
A era de descartar a atividade passiva já passou; é o novo padrão ouro para a confiança digital. Fundamentalmente, as organizações devem analisar o Custo Total de Propriedade (TCO). O verdadeiro valor reside em soluções baseadas em nuvem que são atualizadas perfeitamente, sem intervenção do cliente. Isso contrasta fortemente com sistemas que prometem segurança, mas forçam os usuários a realizar atualizações manuais de software, o que leva a atrasos na implantação e, muitas vezes, não oferece nenhuma melhoria real contra deepfakes. Esses custos ocultos e complexidades operacionais não são apenas impedimentos — muitas vezes, mascaram uma falta crítica de proteção genuína.
*Por Daniel Molina, Vice-presidente da iProov para a América Latina.
