O fim das perguntas de segurança: por que motivo a KBA está morta
March 12, 2025
•min read
Estratégia de segurança
Figura 1: o declínio das credenciais de conhecimento estático
O paradoxo do “apelido de solteira da mãe”
Durante 30 anos, os bancos e as operadoras de telecomunicações apoiaram-se na autenticação baseada em conhecimento (KBA).
“Qual foi o seu primeiro carro?”
“Em que rua cresceu?”
Em 2010, esta informação era “secreta”.
Em 2025, é de domínio público.
A ameaça do scraping com LLM
Os agentes de IA generativa conseguem agora extrair 15 anos de histórico de redes sociais em segundos.
- Aquela foto do seu primeiro Honda Civic no Instagram (2014)? A IA sabe qual foi o seu primeiro carro.
- Aquela publicação de “Throwback Thursday” sobre a casa da sua infância? A IA sabe em que rua cresceu.
Credenciais estáticas vs. dinâmicas
As palavras-passe e as respostas são estáticas. Uma vez roubadas (ou adivinhadas), são válidas para sempre até serem alteradas.
A voz é dinâmica.
- Não pode ser roubada de uma base de dados.
- Requer “prova de vida” (liveness) para funcionar.
- Muda subtilmente com o tempo e o contexto, o que torna impossível “reproduzi-la” com eficácia perante os detetores modernos.
O custo da fricção
Para além da segurança, a KBA é a causa n.º 1 de frustração dos clientes.
- Tempo médio para responder a 3 perguntas de KBA: 45-60 segundos.
- Taxa de falha: 15-20% (clientes legítimos que se esquecem das respostas).
- Tempo de autenticação por voz: 3 segundos (passiva).
O caminho a seguir
A indústria está a passar dos fatores de “conhecimento” (o que se sabe) para os fatores de “inerência” (quem se é).
Se a sua segurança depende da memória do seu cliente, já foi pirateado.
Passe para a biometria.
Tags: