O que é device fingerprint? E como é utilizado?

O device fingerprint ou, em português, a impressão digital do dispositivo é um método para identificar um dispositivo utilizando uma combinação de atributos fornecidos pela configuração do dispositivo e de que forma será usado. Os atributos coletados podem variar dependendo de quem constrói o fingerprint. Alguns dos atributos mais comuns são:

• O endereço IP
• Cabeçalhos HTTP
• Plugins ou fontes que o usuário instalou no dispositivo
• A resolução de tela do dispositivo
• As informações da bateria do dispositivo
• O sistema operacional de uso do visitante
• Agentes de usuário
• Dados Flash
• VPN e informações do navegador
• Tipo de navegador da web e versão 
• Configurações de fuso horário
• Configurações de idioma
  

Embora nenhum dos dados acima seja exclusivo do dispositivo, a possibilidade de dois dispositivos terem exatamente a mesma combinação de atributos é praticamente remota e estatisticamente insignificante, o que faz com que esse método seja eficiente para identificar dispositivos unicamente.

Esse método pode, inclusive, ser confundido com cookies. Se é assim, de que forma eles diferem?

Cookies versus Device Fingerprint

Cookies, bastante usados ​​para fins publicitários, também são empregados ​​para identificar um dispositivo e até mesmo usuários. Os cookies são armazenados localmente no computador do usuário. Entre muitas outras informações, esses dados podem incluir informações sobre as preferências dos usuários, seu histórico de navegação e os seus carrinhos de compras. Os cookies identificam de forma única um dispositivo, uma vez que o usuário recebe um arquivo que funciona como um identificador singular. No entanto, vale ressaltar que isso só acontece se os usuários tiverem dado o seu consentimento explícito para ativar cookies. Graças a regulamentos do uso de dados como a Lei Geral de Proteção de Dados , a LGPD, e a GDPR, regulamentação da União Europeia, entre outros envolvendo a internet, aos usuários deve ser dada a opção de ativar ou desativar os cookies. O fato de os usuários poderem decidir não aceitar cookies, ou até mesmo limpá-los de seus dispositivos, torna esse método de identificação menos confiável, para não dizer, menos favorável à privacidade.

Device fingerprinting é um sinal de reconhecimento mais estável, pois algumas de suas configurações não mudam com tanta frequência. Para usar a impressão digital do dispositivo, um site ou aplicativo mobile precisa usar um rastreador de device fingerprint. Os programadores usarão alguns recursos da linguagem Javascript para coletar essas informações, que podem identificar o dispositivo do visitante, além do sistema operacional, idioma, endereço IP em questão, entre muitas outras coisas. 

Como o device fingerprint é utilizado? 

Os serviços da Web rastreiam os visitantes por diversos motivos, que envolvem desde publicidade, experiência customizada e até segurança. Ao longo dos anos, especialmente no ramo da publicidade, os cookies foram o método principal para identificar os usuários unicamente. Embora o fingerprint também possa ser usado para fins de publicidade, geralmente na forma de digital do navegador, a maioria das organizações usa o fingerprint  do dispositivo para para fins de antifraude. Ao atuar no combate à fraude, as empresas buscam promover o device fingerprint como um método de identificação de dispositivos fácil de usar, visando a proteção de seus clientes e dos dados de suas contas. 

O device fingeprint é um método comum usado por empresas como parte de seus sistemas de antifraude e motores de risco tanto para determinar se um usuário é, de fato, quem afirma ser como para evitar tentativas de invasão de contas.

Como o device fingerprint é utilizado no combate à fraude?

Os fraudadores estão o tempo todo planejando ataques à segurança digital. Alguns desses ataques mais comuns estão relacionados à falsificação de número de telefone e de endereço IP. Ao implementar essas práticas, os fraudadores podem mascarar o número de telefone e o endereço IP real de seu navegador e fingir ser outra pessoa ou um mesmo usuário legítimo. Várias técnicas de falsificação de número de telefone ou de endereço IP são vendidas na Dark Web (sites de atividades ilegais na internet). No entanto, falsificar um device fingerprint é muito mais difícil.

Um device fingerprint pode incluir os seguintes sinais captados do dispositivo:

• “Minimalista”: são baseados em alguns recursos do telefone, como tipo de sistema operacional do dispositivo e de navegador, marca do telefone, entre outros. 
• “Evoluído”: incluem a detecção de dispositivos desbloqueados por Jailbreak ou Rooting, que são acesso aos controles centrais dos dispositivos, ou ainda dispositivos emulados.
• “Complexo”: incluem o uso de assinaturas em componentes de hardware, como a resolução de tela e o tamanho da memória
  
  Em geral, um device fingerprint oferece uma proteção adicional contra as tentativas de fraude mais aplicadas. Para implementar essas verificações para o dispositivo, as empresas precisam usar soluções de prevenção de fraudes que sejam resilientes contra muitos tipos diferentes de falsificação. As plataformas de segurança que utilizam device fingerprint coletam e examinam as digitais e sua relação com outros tipos de atividade e comportamentos do usuário para determinar o risco de um usuário não ser o usuário legítimo. Após cruzar a referência de informações, esses sistemas podem apresentar avaliações de risco de baixo ou alto risco associados à fraude, para que os métodos de autenticação utilizados pelas empresas solicitem ou não etapas adicionais de autenticação, ou seja, adição de maior ou menos nível de fricção, para avaliar a autencidade do usuário.

Device Fingerprint e privacidade 

Para os usuários, não é óbvio, tampouco transparente que seu device fingerprint esteja sendo rastreado por um aplicativo ou site mobile, nem é fácil impedir ou desativar essa prática.

De acordo com a GDPR, uso do device fingerprint é permitido se:

• O usuário der o seu expresso consentimento à empresa solicitando essas informações;
• A coleta e o uso de seus dados forem de interesse legítimo do beneficiário, por exemplo, para preservar a sua segurança.

A mesma lógica de consentimento explícito e legítimo interesse se aplicam para a LGPD, a Lei Geral de Proteção de Dados.