Por Luiz Santos – Em um futuro não distante e menos apocalíptico no país fictício Fraudlândia, o Banco vermelho, o maior da região vem sofrendo ataques frequentes em seus canais eletrônicos apesar dos investimentos significativos com segurança.
Autenticação forte com biometria, baseada em elementos de risco e múltiplos fatores não mudam o fato que no final tudo é autenticado por uma senha de uso genérico, mesmo com tempo de vida limitado, meio minuto é um tempo enorme em uma rede funcionando normalmente.
O uso de soluções baseadas em QRcode trazendo links para as APIs de autenticação são abertas, editadas e resubmetidas fraudulentamente.
Soluções de assinaturas de transações são eficazes mas expõem por tempo demasiado as informações das transações tornando-se ferramenta de vazamento de dados.
Para estancar essa sangria o Banco vermelho decidiu tokenizar suas transações atrelando a cada uma um esquema de autenticação individualizada e exclusivo a partir de um identificador único gerado pelo banco usando tecnologia criptográfica conhecida por “semente”. Cada transação tem um código que é só seu.
Apesar da boa idéia inicial eflúvios tóxicos vindos de grandes cidades próximas levaram os executivos ao delírio a ponto de distribuirem aos usuários tokens dispositivos em quantidade esperada de transações. Centenas de milhões.
Apesar do valor elevado a compra dos dispositivos não foi barreira para essa instituição porém operacionalizar isso foi um desastre a partir da necessidade de um token por transação mudando aleatória e continuamente.
Piscinas de bolas de shopping cheias de tokens, banheiras, barris, bacias e baldes foram distribuídos aos correntistas com base em seu consumo histórico.
O banco sabia de antemão quais tokens estavam com qual cliente exigindo um novo pelo número de série a cada nova transação
Pessoas entaladas, engasgadas arranhadas e afogadas foram eventos comuns pela ânsia de localizar o dispositivo certo em seu “recepiente pessoal“ ocorrências que quase fecharam a instituição centenária.
A salvação veio do sul de forma incorpórea; software e componentização.
Fim dos chaveirinhos dos displays e dos botões. Mais importante; fim de tokens individuais onde cada smartphone passou a conter em formato digital múltiplas sementes componentizadas as piscinas de bolas, banheiras, barris, baldes e bacias acionado instantaneamente por QRcode criptografado( o vermelho não brinca) qual semente armazenada usar
Cada usuário passou a ter uma carteira mobile de aprovação de transações distribuída e chancelada pelo banco com base em relacionamento.
Só quem perdeu foram os fabricantes de bacias.
*Luiz Santos é Chief Research Officer na Provmed TI.