Ficou Interessado?

Blog

Quem Controla sua Identidade Digital?

Por Delano Lins, Head de Negócios

Como a identidade autosoberana coloca os dados pessoais de volta sob o controle do usuário

Lembra-se da última vez que você teve que se inscrever para alguma coisa no DETRAN ou em qualquer órgão governamental equivalente? Lembra de quantos documentos você teve que imprimir e apresentar e como esse processo foi tedioso? Agora, imagine que em vez de fazer isso você pudesse simplesmente escanear um código QR, clicar em “Aceitar” em seu telefone e pronto. Isso é o que a Identidade Digital (ID) pode fazer.

A forma atual de identidades digitais usadas online tem uma grande desvantagem – as identidades não são de propriedade ou controladas pelo indivíduo, mas por corporações centralizadas ou governos. Eles normalmente se enquadram em dois grupos: (a) contas centralizadas criadas para cada site individual, protegidas por um nome de usuário e senha, que são válidos apenas para esse site específico (por exemplo, seu login do eBay), ou (b) uma identidade federada que é mais amplamente aceito, mas sofre de um provedor de identidade centralizado que possui seus dados (pense em log-in de mídia social através do Facebook ou Google).

Todos os tipos de contas, especialmente aquelas de serviços mais importantes e aquelas que contêm dados pessoais como números de previdência social, representam uma parte da identidade digital de uma pessoa. No entanto, o problema é que essas identidades podem ser perdidas, revogadas, alteradas ou comprometidas sem a permissão do indivíduo ou a chance de agir. Existem muitos exemplos de informações pessoais armazenadas centralmente (honeypots de dados) sendo comprometidas e roubadas, como a violação de dados da Equifax em 2017, afetando dados pessoais confidenciais de cerca de 150 milhões de americanos ou, o vazamento monstruoso de dados das TELECOMs no Brasil recentemente. Igualmente perigosas, essas identidades também podem ser falsificadas por meio de ataques de phishing ou de força bruta, tornando um desafio constante provar realmente “quem é quem” na internet.

Logins de mídia social, parte de uma categoria maior de gerenciamento de identidade federada, são comumente usados e oferecem uma experiência de usuário muito melhor do que tentar manter o controle de inúmeras combinações de nome de usuário / senha. Eles permitem usar uma única conta com um provedor para fazer o login com provedores de terceiros. Isso tem a vantagem de simplificar drasticamente o processo de logon. Os usuários só precisam se lembrar de uma única senha, a fim de se autenticar em outros provedores. Em combinação com mecanismos de autenticação biométrica, como Face ID ou identificação de impressão digital, ambos recursos comuns de smartphones modernos, isso pode permitir um login totalmente sem senha. No entanto, como todos os dados pessoais e a própria identidade digital são controlados por uma empresa, eles são vulneráveis às mesmas violações de dados e riscos de falsificação de identidade que afetam as identidades centralizadas. Além disso, tais logins sociais, como ‘login com Facebook’, geralmente são usados apenas quando uma forma fraca de autenticação é aceitável, portanto, nunca para serviços de bancos, governos ou semelhantes.

A identidade autossoberana, por outro lado, traz os dados pessoais de volta ao controle do usuário, além de ter a conveniência de um login federado. O usuário obtém uma experiência de usuário perfeita, sem senha e tem total poder e autoridade sobre sua identidade digital, credenciais pessoais e dados. Tudo sem componentes centralizados.

Os dados de identidade são representados como uma coleção de credenciais digitais, também chamadas de credenciais verificáveis (CVs). Essas credenciais residem em uma carteira digital que apenas o sujeito (indivíduo que possui a identidade digital) controla. Essa carteira pode ser em um telefone celular, tablet ou laptop.

Essa carteira digital pode ser usada com uma ampla variedade de serviços, desde simples logins no eBay até a candidatura a um emprego ou a abertura de uma conta bancária. É aí também que reside o grande desafio da identidade descentralizada – gerando adoção ampla em diferentes setores. Uma ampla gama de diferentes tipos de credenciais, emissores e verificadores precisa ser alcançada para implementar casos de uso significativos. Exemplos de tipos de credenciais são diplomas universitários, comprovantes de emprego ou carteiras de identidade governamentais.

Para conseguir isso, os ecossistemas em torno de credenciais verificáveis serão fundamentais. A boa notícia é que eles já foram formados e estão crescendo rapidamente.

Porém, de forma mais crítica, a ID terá que ser integrado a grandes processos de negócios existentes – e, portanto, sistemas corporativos como ERPs, HCMs ou SCMs, para citar alguns. Se essa integração resultar em ID tão fácil de usar quanto clicar em um botão ou selecionar um item de menu, isso levará a uma rápida aceitação.

A adoção generalizada do ID colocará o controle das identidades digitais de volta nas mãos dos indivíduos. Por meio dessa colaboração e protótipo, alcançamos uma compreensão maior do que nossos clientes precisam e como podemos tomar medidas em direção a um futuro digital mais seguro. Atualmente, estamos trabalhando para aumentar nossos protótipos e também buscando casos de uso em maior escala, além de explorar outras áreas de aplicação, como identidades de objetos.