Processo de verificação de autenticidade e integridade de transação

  • Número do pedido da patente:
  • PI 0700706-0 A2
  • Data do depósito:
  • 26/02/2007
  • Data da publicação:
  • 14/10/2008
Inventores:
  • Classificação:
  • H04L 9/32
    Disposi??es para comunica??o secreta ou segura; / compreendendo meios para verificar a identidade ou a autoriza??o de um usu?rio do sistema;
    ;
    G06F 21/00
    Disposi??es de seguran?a para prote??o de computadores, componentes dos mesmos, programas ou dados contra atividade n?o autorizada;
    ;

PROCESSO DE VERIFICAÇÃO DE AUTENTICIDADE E INTEGRIDADE DE TRANSAÇÃO. A presente invenção refere-se a um processo de verificação de autenticidade e integridade de transação, que possibilita ao cliente averiguar a autenticidade de um sítio bancário de internet. Dito processo dispensa a utilização de dispositivos especiais pelos clientes, evitando gastos extras para sua implementação, e facilitando sua adoção.

Página de 1

Documento

PROCESSO DE VERIFICAÇÃO DE AUTENTICIDADE E INTEGRIDADE DE TRANSAÇÃO Campo dá Invenção

A presente invenção refere-se a um processo de verificação de 5 autenticidade e integridade de transação, particularmente para ser usado em sítios bancários para utilização de serviços via internet, quando em transações e transmissões eletrônicas de dados.

Histórico da Invenção

A exposição que segue, por simplicidade de explicação, ilustra a 10 invenção dentro de uma realização particular, qual seja, um processo de verificação de autenticidade e integridade de transação utilizado em sítios bancários para utilização de serviços via internet, sem que por esse motivo esteja restrita a apenas essa realização; podendo ser utilizado para verificação de dados de usuário quando no acesso de qualquer tipo de banco de dados e/ou 15 informações.

É do conhecimento do homem da técnica o uso de senhas para controle de acesso a bancos de dados. Usualmente, para que se tenha controle no acesso a determinados bancos de dados pede-se ao usuário apresentar seu “nome” e “senha”, limitando-se assim o acesso somente a pessoas autorizadas 20 pelo sistema. O nome e senha são compostos de letras e números e são digitados no teclado do computador. Se a senha digitada está correta é permitido o acesso à rede, se estiver errada o acesso é negado.

No entanto, o sistema alfanumérico apresenta algumas desvantagens.

25    Recomenda-se que a senha seja composta de uma combinação de

letras e números aleatória, diferente de datas ou nomes que, por tentativa e erro, poderíam ser facilmente descobertas por fraudadores. Porém, ao mesmo tempo em que se busca dificultar sua descoberta, torna-se mais difícil sua memorização pelo usuário.

30    Outro problema que pode ocorrer é a intercepção da senha ou

qualquer outro dado durante a transmissão via internet. Existem numerosas técnicas de criptografia para encriptar dados e deter os dados capturados de forma não autorizada. Mesmo com o uso de criptografia, dados confidenciais ainda podem ser decifrados permitindo o uso indevido dos mesmos.

Há também os conhecidos ‘Trojans’ ou Cavalos de Tróia que são programas executáveis que tomam o controle total ou parcial do micro infectado para fins maliciosos. Dessa forma torna-se possível o roubo de senhas, cópia ou destruição de arquivos, etc.

Uma outra forma de golpe utilizada por terceiros para se apoderar de dados alheios na Internet é induzindo os próprios usuários da rede a fornecer essas informações. Isto pode ser feito por intermédio de e-mails com falsas mensagens de inadimplência que usam o nome de instituições confiáveis; sítios com serviços gratuitos para colher dados privados; lojas virtuais para obtenção de números de cartões de crédito e outras informações dos consumidores, cópias fieis de páginas de bancos levando os clientes a acessá-las para preencher seus números de conta e senha, etc.

Para tornar o sistema mais seguro, algumas medidas de segurança podem ser tomadas para validar a identidade do usuário associada às senhas alfanuméricas, como escanear e analisar a impressão digital, a retina, o rosto do usuário, padrão de veias ou reconhecimento de sua voz.

Ocorre que esses sistemas de segurança nem sempre podem ser implementados nos computadores domésticos, pois dependem de periféricos específicos como escâner, câmera, microfone.

Assim, embora eficazes, implicam gasto adicional para o usuário, dificultando sua implementação e, portanto, não são práticos.

Uma alternativa a esses sistemas são os certificados digitais e tokens (números gerados por utilização de algoritmos de criptografia e hash) para se gerar uma assinatura de uma transação. Mas essa certificação, de maneira desvantajosa, também necessita dispositivos externos por parte dos usuários, encarecendo sua utilização.

Podem ser citados também os seguintes documentos de patente que revelam sistemas de verificação de dados, que diferentemente desta invenção, são mais complexos e demorados em sua execução.

Por exemplo, a patente americana US 6.209.104 trata de um




sistema onde o servidor gera imagens que contêm ícones posicionados em locais estratégicos, cuja localização é armazenada de forma associada a eles. O cliente ao entrar com sua senha escolhe uma série de ícones que são associados à sua senha, até completá-la. Esse sistema, não é conveniente ao usuário que, além de ter de se lembrar de sua senha, tem de associá-la a imagens enquanto escolhe os ícones.

A patente européia EP 677 801 dispõe uma senha gráfica ao usuário, de forma que, quando um usuário tenta o acesso ao banco de dados lhe é apresentada uma imagem no monitor que deve ser tocada (ou clicada) em determinados pontos e em uma determinada ordem, como uma senha que é determinada pelas coordenadas dos pontos tocados. Esse sistema, embora efetivo, é muito complexo para sua implementação, e não é prático para o usuário, pois exige que ele se lembre da correta ordem de toques.

É, pois, um objeto da presente invenção um processo de verificação de autenticidade e integridade de transações on-line sem a utilização de dispositivos específicos pelos usuários, evitando gastos extras para sua implementação, e facilitando sua adoção.

O processo proposto diminui consideravelmente o risco de quebra da integridade dos dados da transação por terceiros, utilizando um meio de comunicação simples (imagem) aplicável a um grande espectro de perfis de usuários.

Sumário da Invenção

Trata-se de um processo de verificação de autenticidade e integridade de transação para ser utilizado por clientes de uma instituição bancária, através de seu sítio da internet, como forma de evitar que terceiros quebrem a integridade de dados.

O sítio oferece ao cliente a opção de escolha de uma imagem entre uma pluralidade delas. O cliente seleciona uma qualquer, à sua preferência. A escolha da imagem pode ser feita de diversas formas, como clicando sobre ela na tela com o auxílio de um mouse; ou com o auxílio de um teclado usando a tecla TAB para manipular o cursor de uma imagem para outra e a tecla ENTER para fazer a escolha; ou com as teclas em forma de seta (|, J,, <—, —>) para passar de uma imagem para outra até chegar naquela desejada, e em seguida aperta-se a tecla ENTER, etc. Quando se tratar de uma tela sensível ao toque, a escolha da imagem pode ser feita com o toque sobre ela.

A imagem escolhida é então associada ao cliente e funciona como uma assinatura de transação bancária, assim sempre que o cliente for confirmar uma transação ela estará presente, servindo de uma espécie de contra-senha.

Dessa forma, o cliente pode reconhecer a autenticidade do sitio bancário e das informações da transação requerida sempre que a imagem por ele escolhida for apresentada.

Na ocorrência de uma intercepção dos dados da transação ou de um sítio falso se apresentar ao cliente, ele perceberá a falta da imagem escolhida ou a alteração de dados, e assim não confirma a transação, que será descartada.

A imagem consistirá em uma espécie de segredo entre o cliente e o banco, usada quando a transação bancária ocorrer por meio eletrônico, sendo ela uma espécie de elemento de autenticação do banco pelo cliente.

Opcionalmente, a imagem pode ser apresentada pelo próprio cliente, que é então trabalhada pela instituição de forma a prover informações referentes à transação, como: valor da transação, nome do cliente e/ou favorecido, etc.

Em uma alternativa, a imagem pode ser criptografada e/ou estenografada para sua transmissão, garantindo sua integridade e impedindo violação.

Esse processo permite a verificação da legitimidade da origem da transação e da integridade dos dados da mesma.

Breve descrição dos desenhos

A seguir uma realização particular da invenção será descrita com base nos desenhos em anexo sem impor quaisquer limites ao escopo da invenção determinado pelas reivindicações anexas, nos quais:

-    a figura 1 representa um diagrama de blocos da escolha da contra-senha; e,

-    a figura 2 representa um diagrama de blocos da transação bancária com a imagem escolhida pelo cliente.

Descrição detalhada da invenção

A presente invenção refere-se a um processo de verificação de autenticidade e integridade de transação para constatação da integridade de um sítio bancário de internet pelo cliente.

A figura 1 ilustra um diagrama de blocos de um processo para escolha de imagem a ser disponibilizado a um cliente em um sítio de uma instituição bancária, por exemplo, através de um computador pessoal, terminal de auto-atendimento, computadores de agências bancárias, etc.

A expressão “autenticador” é aqui utilizada como a entidade que verifica a autenticidade das transações, gera e envia a “imagem contra-senha” e avalia o retorno do cliente à ela.

O processo é implementado por um autenticador, que envia as imagens por meio eletrônico a um computador, onde é selecionado pelo cliente. Este processo armazena a imagem selecionada associado-a ao cliente. Durante o processo de verificação mescla dados da transação com a imagem associada ao cliente gerando uma espécie de contra-senha que é verificada pelo cliente para uma posterior confirmação da transação.

A invenção consiste tipicamente em prover uma pluralidade de imagens (etapa 10) ao cliente que, uma vez escolhida (etapa 11), fará parte de sua contra-senha quando da utilização de serviços bancários via meios eletrônicos. Dessa forma, a contra-senha é uma imagem que, juntamente com dados de uma transação bancária escolhida pelo cliente, ao ser reconhecida por ele, permite a conclusão de uma transação bancária via meios eletrônicos. Sua utilização impede a cópia, clonagem, alteração de dados por terceiros não autorizados em tempo real. Para tanto a escolha da imagem compreende as seguintes etapas ilustradas na figura 1:

a)    envio pelo autenticador de uma pluralidade de imagens, via eletrônica, para o cliente (etapa 10);

b)    escolha (etapa 11) de uma das imagens pelo cliente;

c)    envio da imagem escolhida para o autenticador (etapa 12);

d)    carregamento da imagem no autenticador associando-a ao cliente (etapa 13).

• •



Os termos “via eletrônica” e “meios eletrônicos” aqui utilizados referem-se a qualquer forma de envio de dados, como internet, rede interna, sinal eletrônico, etc.

Opcionalmente, a imagem pode ser enviada pelo próprio cliente ao autenticador. Essa imagem pode ser qualquer como uma fotografia, uma imagem escaneada, etc.

Uma vez escolhida a imagem pelo cliente (etapa 11) ela fica armazenada no autenticador (etapa 13) aguardando qualquer transação eventualmente requerida por ele. Quando o cliente acessa a página da instituição bancária e requer uma transação, o autenticador enviará de volta uma contra-senha formada a partir da imagem previamente escolhida com alguns dos dados da transação. Estando de acordo com a contra-senha, o cliente confirma, e o autenticador autoriza a transação. Caso contrário o cliente não confirme, a transação é descartada.

No presente processo de verificação de autenticidade e integridade de transação, a geração de contra-senha é feita na requisição de uma transação bancária, sendo o processo realizado de acordo com as seguintes etapas:

a)    Entrada de dados de uma transação pelo cliente (etapa 20);

b)    Envio dos dados da transação para o autenticador (etapa

21);

c)    Processamento pelo autenticador dos dados recebidos

(etapa 22);

d)    Geração de uma contra-senha a partir de uma imagem previamente cadastrada pelo cliente com um ou mais dos dados da transação enviados pelo cliente (etapa 23);

e)    Envio da contra-senha ao cliente (etapa 24);

f)    Confirmação do cliente, o autenticador realiza a transação (etapa 26), retornando à etapa 20;

g)    Não confirmação do cliente, em determinado tempo, o autenticador descarta a transação (etapa 25), retornando à etapa 20.

Dessa forma, a transação só pode ser confirmada pelo cliente que escolheu a imagem. Na eventualidade de uma página de terceiros, que simule a

do banco, surgir durante a operação de acesso à página verdadeira, o cliente verificará a ausência da imagem previamente escolhida, e assim perceberá que se trata de uma página falsa e não efetuará nenhuma transação.

Verifique-se que a realização da invenção é dependente de meios 5 tecnológicos, para atingir seus efeitos, que são práticos e concretos.

O homem da técnica prontamente perceberá, a partir da descrição e dos desenhos representados, várias maneiras de realizar a invenção sem fugir do escopo das reivindicações em anexo.

• • • •    •    •

• • • •


•    •    ••

♦    •    •    •

•    •    •    •

REIVINDICAÇÕES

1    - PROCESSO DE VERIFICAÇÃO DE AUTENTICIDADE E INTEGRIDADE DE TRANSAÇÃO caracterizado pelo fato de compreender as seguintes etapas:

5 a) Entrada de dados de uma transação pelo cliente (etapa 20);

b)    Envio dos dados da transação para o autenticador (etapa 21);

c)    Processamento pelo autenticador dos dados recebidos (etapa 22);

d)    Geração de uma contra-senha a partir de uma imagem vinculada ao cliente, com um ou mais dos dados da transação enviados pelo cliente (etapa

10    23);

e)    Envio da contra-senha ao cliente (etapa 24);

2) Confirmação do cliente, o autenticador realiza a transação (etapa 26), retornando à etapa 20;

a)    Não confirmação do cliente, o autenticador descarta a transação pendente 15 (etapa 25), retornando à etapa 20.

2    - PROCESSO DE VERIFICAÇÃO DE AUTENTICIDADE E INTEGRIDADE DE TRANSAÇÃO de acordo com a reivindicação 1 caracterizado pelo fato da imagem vinculada ao cliente compreender as seguintes etapas para sua escolha:

20 a) envio pelo autenticador de uma pluralidade de imagens, via internet, para o cliente (etapa 10);

b)    escolha (etapa 11) de uma das imagens pelo cliente;

c)    envio da imagem escolhida para o autenticador (etapa 12);

d)    carregamento da imagem no autenticador associando-a à conta-corrente 25 do cliente (etapa 13).

3    - PROCESSO DE VERIFICAÇÃO DE AUTENTICIDADE E INTEGRIDADE DE TRANSAÇÃO de acordo com a reivindicação 1 caracterizado pelo fato do processo apresentar ao cliente mais de uma imagem juntamente com a previamente escolhida na etapa (e), para confirmação da transação.

30    4 - PROCESSO DE VERIFICAÇÃO DE AUTENTICIDADE E

INTEGRIDADE DE TRANSAÇÃO de acordo com uma qualquer das reivindicações 1 ou 2 caracterizado pelo fato da imagem ser apresentada pelo


• ••


• •


próprio cliente.

5 - PROCESSO DE VERIFICAÇÃO DE AUTENTICIDADE E INTEGRIDADE DE TRANSAÇÃO de acordo com uma qualquer das reivindicações 1 a 4 caracterizado pelo fato da imagem ser criptografada e/ou 5 estenografada para sua transmissão.

1/1


• '

•    I

•    »


• • • «


20


FIG. 2


1/1


t • • • • •


•    *    é    *    •

• r •    •    •


• • • • • •• #


• • • • • • • • • •


I • • • « • • • •


RESUMO

PROCESSO DE VERIFICAÇÃO DE AUTENTICIDADE E INTEGRIDADE DE TRANSAÇÃO

A presente invenção refere-se a um processo de verificação de 5 autenticidade e integridade de transação, que possibilita ao cliente averiguar a autenticidade de um sítio bancário de internet. Dito processo dispensa a utilização de dispositivos especiais pelos clientes, evitando gastos extras para sua implementação, e facilitando sua adoção.