0
0
Grande parte da promessa associada a futuras infraestruturas de identidade digital está associada à maior automação do ciclo de vida da identidade e ao fornecimento de maior controle de dados pessoais aos usuários finais. Mas a automação também tem o potencial de reduzir o controle do usuário de dados pessoais. Então, como podemos garantir que as futuras infraestruturas de identidade digital aumentem a conveniência e não comprometam a segurança?
Novo interesse em identidade digital
Novas abordagens para a identidade digital visam fornecer mais autonomia aos usuários finais e impor uma separação de preocupações entre a organização que inicialmente verifica uma identidade e organizações que dependem da confiabilidade dessa identidade. Dentro desse paradigma, existem atualmente várias iniciativas em andamento para explorar como poderia ser a identidade digital moderna. No ano passado, o governo do Reino Unido lançou sua identidade digital e atribui a estrutura de confiança que define princípios fundamentais para um esquema que permite aos usuários compartilhar credenciais verificáveis entre os serviços.
Enquanto isso, a União Europeia está atualmente em processo de criação de uma Identidade Digital Europeia. Enquanto o planejamento desses esquemas prossegue em um nível político e ideológico, devemos começar a nos preparar para alguns dos desafios potenciais à segurança e à usabilidade em nível operacional.
Identidade centrada no usuário
Com o usuário desempenhando um papel privilegiado para controlar a divulgação de dados pessoais, a identidade centrada no usuário tornou-se um paradigma de fato para futuras infraestruturas de identidade. No entanto, embora a missão centrada no usuário para fornecer aos usuários o controle da identidade é uma direção importante para a privacidade, ela vem com limitações. Em primeiro lugar, coloca mais responsabilidade nas ações do usuário e pode criar complexidade nas interfaces do usuário. Em segundo lugar, uma aspiração mais fraca para o controle do usuário tornou-se comum sob a bandeira de “centrado no usuário” que se adequava a grandes empresas que fornecem tecnologias de login na Web invasivas à privacidade.
A identidade auto-soberana (SSI) é uma proposta que visa ampliar e fortalecer as promessas de privacidade do modelo centrado no usuário. O usuário deve ser central para a administração da identidade, e todas as divulgações de informações devem ser originárias do dispositivo do usuário. A privacidade do usuário é primordial.
A tecnologia central implantada pela SSI é a criptografia de chave pública, com ênfase especial em assinaturas digitais. Além disso, os esquemas SSI incorporam em sua arquitetura técnicas de computação descentralizada, como livros distribuídos. Livros distribuídos, ou blockchains, são cruciais para a promessa do SSI porque essas técnicas têm o potencial de melhorar a privacidade fornecida pela arquitetura de identidade. Especificamente, eles podem ajudar a aliviar o problema de um provedor de identidade ocupando uma posição de poder e construindo um perfil de atividade em cada um de seus usuários.
Hyperledger Indy is one example of how distributed ledgers can be tailor-made for applications of digital identity. Hyperledger Indy incorporates emerging standards for verifiable credentials and decentralized identifiers, and is reasonably secure even in the face of malicious attacks to disrupt its consensus mechanism.
A digital identity wallet provided to users is the second crucial element of the SSI promise of user-centricity. It will act as a “hub” that receives requests for access to personal information and record consent as well as tools that enable operations such as creating and verifying digital signatures and performing respectful information disclosure to online services (e.g., zero-knowledge proofs). This digital identity wallet could be implemented as a bespoke hardware device or a mobile application, depending on the security requirements and needs of the context.
SSI is a promising and concrete proposal for the next generation of digital identity since it embodies the spirit of user-centricity and aims for stronger forms of privacy. But we need to carefully consider the inclusivity of some aspects of the SSI vision. For example, the usability of the identity wallets that users possess, and their fit with the experiences of those of the older generation and other groups that have disabilities. Digital identity is a universal need and we shouldn’t use technology to re-introduce the limitations of our old ways of working.
Fraud resistance
Uma nova infraestrutura de identidade digital deve mitigar altos níveis de fraude. No primeiro semestre do ano passado, os criminosos roubaram um total de £753,9 milhões por fraude no Reino Unido. Independentemente da sofisticação da tecnologia implantada em futuros esquemas de identidade bancária, a fraude ainda será um risco em vários pontos do ciclo de vida da identidade. As futuras tecnologias de identidade devem aumentar os esforços para reduzir a ameaça de identidade sintética, fraude de personificação e melhorar a usabilidade e a segurança da autenticação do usuário.
Organizações sediadas em países sem infraestrutura de identidade nacional enfrentam o risco sistêmico da identidade sintética, uma vez que a tarefa de determinar se uma identidade é real é baseada na probabilidade. Neste caso, para reduzir o risco de identidade sintética, é necessário um órgão autoritário para verificar a existência de uma identidade e, ao mesmo tempo, respeitar a privacidade dos cidadãos. No Reino Unido, por exemplo, há um projeto piloto sobre o Serviço de Verificação de Documentos (DCS) do governo que fornece uma resposta autorizada “sim” ou “não” a uma consulta de um serviço online sobre a validade do passaporte. Isso, em combinação com serviços digitais autoritários semelhantes, poderia ajudar a reduzir o risco de identidade sintética a ponto de estabelecer a identidade de um consumidor.
A fraude de personificação é outro risco a ser considerado quando alguém está embarcado em um serviço usando informações de identidade roubadas. Embora existam mitigações para esse risco, um futuro esquema de identidade digital pode criar uma cultura onde informações de identidade verificáveis, como credenciais verificáveis W3C – o uso de que está sujeito à autenticação local em um dispositivo – podem reduzir ao longo do tempo a necessidade de realizar a prova de identidade “do zero”.
Além disso, a evolução de um ecossistema aberto de provedores de identidade permitirá que aqueles com o processo de prova de identidade mais resiliente forneçam a maioria das identidades no ecossistema. Isso não só irá eliminar os provedores de identidade com processos menos seguros, mas também ajudará a fortalecer a resistência global do ecossistema à fraude onde identidades portáteis são usadas.
Depois que uma identidade centrada no usuário foi estabelecida, métodos de autenticação do usuário são necessários em vários pontos, por exemplo, autenticação local para proteger a carteira do usuário e reduzir o risco de que credenciais ou privilégios emitidos do dispositivo sejam acessíveis a indivíduos não autorizados.
A autenticação remota em uma rede também é necessária para restabelecer o acesso a serviços online depois que o cliente tiver embarcado com sucesso. Em pesquisa realizada pelo Conselho de CMO, 44% dos entrevistados disseram que a biometria é considerada um método mais fácil e melhor de autenticação do que alternativas. Padrões de autenticação abertos, como os da Aliança FIDO, suportam biometria para autenticação local e mitigam o risco de phishing durante a autenticação remota.
A adoção da identidade digital parece quase certa neste momento. Seus benefícios potenciais são vastos e bancos, FIs e governos estão sintonizados com essas oportunidades. No entanto, à medida que o desenvolvimento avança, as iniciativas de identidade digital e as organizações que impulsionam a adoção terão que trilhar várias linhas finas. Deve ser simples e fácil de usar, mantendo os mais altos padrões de segurança. Ele também deve fornecer aos usuários finais controle sobre seus dados pessoais sem complexidade esmagadora – ou pior, a oportunidade de compartilhar suas informações com fraudadores ou golpistas. Se conseguirmos pisar essas linhas com sucesso, o ID digital está definido para transformar o banco digital nas próximas décadas.
FONTE: HELPNET SECURITY