Topo

Usar biometria no app do banco é seguro? Veja dicas para aumentar proteção

Getty Images/iStockphoto
Imagem: Getty Images/iStockphoto

Lucas Carvalho

De Tilt, em São Paulo

19/07/2021 04h00Atualizada em 16/09/2021 13h10

Sem tempo, irmão

  • Segundo especialistas, acesso por reconhecimento facial ou impressão digital é seguro, mas não 100%
  • É importante usar a biometria com pelo menos mais um ou dois fatores de autenticação, como senhas ou tokens
  • Uma série de pequenos ajustes nas configurações do celular pode deixá-lo praticamente à prova de invasão

As quadrilhas "limpa-conta" — grupos de criminosos que roubam celulares e depois invadem apps de bancos para esvaziar as contas das vítimas — têm deixado muita gente com um pé atrás em relação à segurança de seus aplicativos. Até mesmo aqueles que usam sistemas sofisticados de acesso como biometria (impressão digital ou reconhecimento facial).

Afinal, esse acesso por biometria é seguro? Ou é melhor usar uma senha numérica? Como tornar as transações bancárias pelo celular mais seguras e dificultar a vida dos ladrões? Segundo especialistas ouvidos por Tilt, não precisa deletar o app do banco e voltar a frequentar agências físicas: uma série de pequenos ajustes pode deixar o acesso virtual ao seu banco mais bem protegido no celular.

Em primeiro lugar, é preciso perder o medo de usar app bancário. "Os bancos são os apps mais seguros que temos hoje em dia. Aliás o sistema bancário é a locomotiva da segurança digital aqui no Brasil", diz Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética) e presidente executivo da companhia de segurança digital Decript.

Ainda assim, nenhum sistema é 100% inviolável, e brechas aqui e ali sempre podem surgir. Segundo Kin, elas aparecem principalmente quando os bancos tentam deixar o app mais fácil e menos burocrático de usar. O acesso à conta por biometria é um bom exemplo: facilita a vida do usuário, mas também a do ladrão.

Se você tem iPhone, sabe que o Touch ID (impressão digital) ou Face ID (reconhecimento facial) são quase impossíveis de falsificar. Mas, se o rosto ou dedo cadastrado for trocado pelo ladrão que pegou o celular desbloqueado no momento da ação, alguns sistemas bancários deixam tranquilamente fazer um novo cadastro biométrico. Neste caso, se eles não tiverem outras camadas de segurança na hora de permitir uma transação, os criminosos conseguiriam acessar mais fácil as contas das vítimas.

No caso do Android, a brecha é diferente. Enquanto o iPhone usa um complexo sistema de sensores tridimensionais e câmeras infravermelhas para fazer seu reconhecimento facial, a maioria dos celulares usa apenas um sistema simples de checagem por imagem que pode ser enganado por uma foto, por exemplo, em alguns casos (entenda melhor a seguir).

Quem diz isso é Israel Wernik, pesquisador do laboratório de segurança digital israelense Check Point Research. Porém, mesmo que um ladrão consiga driblar o acesso por biometria do seu app bancário, realizar transações e tirar dinheiro da sua conta já são outros quinhentos, afirma o expert.

"Existem várias maneiras pelas quais um atacante pode desbloquear um dispositivo e obter informações confidenciais. Mas esse acesso por si só não deve fornecer ao invasor a possibilidade de realizar a transação, se o aplicativo bancário foi desenvolvido de acordo com os padrões de segurança adequados", diz.

Possíveis brechas em apps bancários

Tornar o aplicativo mais seguro sem deixá-lo mais difícil de usar é uma tarefa complicada, afirma Flávio Silva, coordenador e especialista de segurança da informação da empresa de tecnologia Trend Micro. "Se os bancos, por exemplo, exigissem senhas muito complexas, talvez eles recebessem uma quantidade enorme de chamados de clientes reclamando que estão esquecendo a senha. Não é fácil para os dois lados."

Segundo os entrevistados, alguns sistemas são mais flexíveis do que outros. Assim, permitem o acesso instantâneo a uma conta de banco apenas com o uso de biometria, sem pedir uma senha ou o preenchimento para confirmar o número de agência e conta. Alguns até oferecem essa segunda etapa de segurança, mas é uma configuração que fica mais escondida. Ou seja, nem todo usuário sabe que existe.

Para Denis Riviello, especialista em cibersegurança da empresa de tecnologia Compugraf, esse é o problema, porque a biometria sozinha não é suficiente para proteger sua conta digital. "Você usar uma senha e também um SMS ou token, além da biometria, independentemente de qual seja. Isso vai tornar seu acesso muito mais seguro. Substituir um pelo outro [senha por biometria] eu não recomendo."

Como se proteger

Especialistas ouvidos por Tilt recomendam tomar essas oito atitudes para tornar o acesso a seu app bancário mais seguro, começando pelo desbloqueio do celular.

1. Permita que o celular bloqueie a tela sozinho no menor tempo possível

No iPhone, vá até Ajustes > Tela e brilho > Bloqueio Automático. Mude o tempo para 30 segundos. Isto fará com que o celular apague a tela e bloqueie-se sozinho após meio minuto. Assim, os riscos de algum ladrão pegar seu celular desbloqueado são menores.

No Android, o caminho pode variar dependendo da fabricante (Samsung, Motorola, Xiaomi etc.), mas procure pelas opções de ajustes da tela no app de Configurações e coloque o bloqueio automático da tela para o menor tempo possível.

2. Não use senhas previsíveis

Além da biometria, a maioria dos celulares exige uma senha para permitir o desbloqueio caso sua digital ou rosto não sejam reconhecidos. Neste caso, é importante evitar senhas óbvias, como sequências de números (nada de 123456), ou mesmo datas de aniversário.

Evite também usar senhas repetidas. Se o código que você usar para desbloquear o celular for o mesmo de alguma conta online que já vazou em algum ataque hacker, fica fácil para os criminosos encontrarem sua informação dando sopa na deep web.

3. Não guarde senhas ou documentos no celular

Se você seguir o conselho de não usar senhas fáceis ou repetidas, vai ficar bem difícil lembrar-se de todas elas. Mas, mesmo assim, evite anotá-las no próprio celular, no bloco de notas ou em alguma mensagem de texto enviada a um familiar, por exemplo. Em vez disso, considere a possibilidade de usar um gerenciador de senhas.

Se você tirar fotos de documentos para abrir contas online, ou guarda PDFs com seu CPF ou outros dados pessoais nos seus arquivos na caixa de entrada do e-mail, é bom fazer uma faxina de tempos em tempos para apagar qualquer rastro dos seus dados que possam ser usados por algum bandido para criar uma senha nova no seu banco.

4. Proteja seus apps numa pasta segura

Muitos celulares Android vêm com um recurso de "pasta segura" que permite proteger apps específicos atrás de uma senha ou de impressão digital. Vale a pena utilizar o recurso ou baixar apps que fazem isso, como da empresa de segurança Kaspersky ou o da Eset.

Mas certifique-se de usar uma senha diferente para essa pasta segura: não vale ser a mesma do desbloqueio do celular.

No iPhone, porém, os apps que prometem criar uma pasta segura dentro do sistema geralmente precisam ter permissões muito ousadas e que a Apple não gosta de fornecer. Nesse caso, o ideal é criar um limite de tempo para seus apps mais sensíveis, como os de banco, e definir uma senha para desabilitar o tempo de uso quando você for usar.

Apenas tenha em mente que essa ferramenta também desabilita as notificações, então pense bem antes de usar.

5. Ative autenticação em dois fatores para tudo

A autenticação em dois fatores é um método que muitos aplicativos usam para acrescentar uma segunda camada de proteção aos seus dados. Com ela, além de uma senha, seus apps vão pedir um código temporário que pode ser emitido por SMS, ligação ou até mesmo através de um outro app de segurança, como o Authenticator, da Microsoft.

Segundo especialistas, o ideal é ativar essa autenticação em dois fatores para todos os apps no seu celular que oferecerem essa opção, não só os de bancos (redes sociais e WhatsApp também trabalham com essa camada a mais de segurança).

No caso das quadrilhas limpa-conta, uma boa estratégia é ativar a autenticação também no chip de operadora para impedir que ladrões usem o cartão SIM em outro aparelho. Vale a pena revirar as configurações de todos os seus apps para achar esse ajuste.

6. Não se esqueça de sair da sua conta

Após parar de usar um app bancário, certifique-se de deslogar sua conta. Assim, da próxima vez que você (ou um ladrão) tentar abrir o aplicativo, precisará não só da senha, mas também de outros dados pessoais, como CPF ou preenchimento da agência e conta, dependendo da instituição financeira.

7. Impeça o acesso à internet na tela de bloqueio

A primeira coisa que ladrões fazem ao roubar um celular bloqueado é desligar a internet para impedir que a vítima apague todos os dados remotamente (vamos explicar no próximo item). Por isso é importante também impedir que alguém mexa nas configurações da internet sem desbloquear o aparelho.

No iPhone, é só ir até Ajustes > Face ID e Código (ou Touch ID e Código). Role um pouco a tela e você verá um conjunto de opções abaixo de "permitir acesso quando bloqueado". É só deixar todas essas opções desativadas e você estará mais seguro.

No Android, o caminho muda dependendo da fabricante do seu celular. Mas procure no app de Configurações as opções para editar a tela de bloqueio e impedir o acesso ao painel de configurações (ou, pelo menos, ao Wi-Fi e à internet móvel, se essa configuração existir no seu aparelho).

8. Foi roubado? Apague tudo remotamente

Por fim, mas não menos importante, você precisa memorizar o caminho para apagar totalmente seu telefone remotamente caso ele seja roubado. Assim, todos os dados que estão lá dentro serão apagados e o ladrão não conseguirá acessá-los.

Se seu celular for da Apple, corra até o primeiro celular ou computador disponível e acesse icloud.com. Faça login com seu email e senha e acesse a opção "Buscar iPhone". Na tela seguinte você verá a localização do seu aparelho no mapa. É só clicar ou tocar em "Apagar iPhone".

Se o celular roubado for Android, a primeira etapa é a mesma: buscar o mais rápido possível um computador ou celular confiável. Acesse android.com/find, faça login com seu email e senha do Google. Quando o mapa com a localização do seu aparelho aparecer na tela, é só clicar ou tocar em "limpar dispositivo".