0
0
Nesta entrevista da Help Net Security, Eve Maler, CTO da ForgeRock, fala sobre como as identidades digitais continuam a desempenhar um papel crítico na forma como acessamos os serviços on-line com segurança. Maler também destaca os desafios encontrados por várias indústrias na implementação de identidades digitais descentralizadas.
Que desafios os sistemas de identidade digital descentralizados enfrentam e como eles podem ser superados?
A identidade descentralizada é uma área nascente, e estamos em um momento emocionante no tempo em que as identidades digitais descentralizadas estão ganhando força em vários setores. O maior desafio que os sistemas de identidade digital descentralizados enfrentam é a adoção, pois introduz a complexidade do sistema e requer mudanças no funcionamento interno dos provedores de serviços e provedores de identidade especializados, bem como mudanças nas experiências do usuário.
Também requer repensar o relacionamento de uma organização com dados pessoais e a capacidade de minerar esses dados. Podemos esperar uma maior adoção quando as organizações e os usuários finais se realinharem em novas maneiras de criar serviços perspicazes e personalizados que, no entanto, ofereçam controle pessoal significativo dos dados.
Você pode fornecer exemplos de implementação bem-sucedida de sistemas de identidade digital descentralizados em cenários do mundo real?
Estamos começando a ver alguns casos de uso no mundo real. Um dos exemplos mais fortes de implementação de sistemas de identidade digital descentralizados é o movimento de carteira de motorista móvel (mDL) nos EUA para contextualizar, um mDL é uma carteira de motorista (ou cartão de identificação) armazenada em formato digital seguro em um dispositivo móvel com a capacidade de ser consultado em tempo real de forma sensível à privacidade.
É composto pelos mesmos elementos de dados que são usados para produzir uma carteira de motorista física e pode ser lido por um leitor eletrônico. Uma das razões pelas quais o movimento mDL está ganhando força é que suas interações são definidas por um conjunto de padrões construído propositadamente, que promove a interoperabilidade entre sistemas, mesmo em diferentes estados dos EUA.
Na UE, estamos vendo progressos no planejamento abrangente de carteiras de identidade digital para iniciativas como o movimento transfronteiriço de pessoas. Há também casos de uso mais direcionados – como em uma organização de saúde ou varejo – em que as pessoas podem usar aplicativos móveis que foram habilitados para funcionar como carteiras digitais, para que possam fornecer informações pessoais relevantes para esses contextos.
As implantações até o momento não são consideráveis, mas estão ajudando a aumentar a velocidade e a precisão nas principais verticais. Veremos mais desses casos de uso surgirem nos próximos anos.
Como as tecnologias emergentes como IA, aprendizado de máquina e blockchain permitem identidades digitais descentralizadas?
Vamos começar com blockchain. O nome original para a pesquisa que levou à identidade descentralizada era conhecido como “identidade blockchain”. Um blockchain ou livro-razão distribuído é uma tecnologia-chave, embora não estritamente necessária, para ajudar os serviços a usar “credenciais verificáveis” que um usuário escolhe compartilhar de sua carteira digital. Essas credenciais são pacotes seguros de dados que foram colocados na carteira – emitidos – por alguma fonte autorizada.
Por exemplo, o Departamento de Veículos Motorizados (DMV) pode ser o emissor de uma credencial dizendo que você tem uma licença para dirigir. A credencial não é armazenada em um blockchain, mas o serviço de verificação pode se referir a um “registro de dados verificáveis” normalmente armazenado em um blockchain para autenticar seu emissor. Então, o que vai para um blockchain é apenas informações sobre quem o emitiu. O blockchain serve como um registro público de quem está emitindo quais tipos de credenciais.
À medida que as tecnologias de carteira continuam a surgir, a inteligência artificial (IA) e o aprendizado de máquina (ML) desempenharão um papel crítico na autenticação inteligente. A carteira digital sabe quem são os usuários e os usuários podem desbloquear uma carteira digital com biometria no dispositivo, como o Face ID. Isso pode suportar experiências incríveis sem senha, melhorando os links mágicos.
No entanto, a segurança dessa tecnologia de carteira e a garantia de que a pessoa certa a esteja usando – a vinculação carteira a usuário – torna-se realmente importante. Afinal, uma vez que um telefone é desbloqueado, ele pode ser usado por outras pessoas, e é possível registrar as impressões digitais de várias pessoas quando esse é o método de desbloqueio. A IA pode ser útil para detectar, silenciosamente, que o “usuário errado” está usando uma carteira porque se comporta de maneira diferente. Qualquer método de autenticação sem senha se beneficia de camadas adicionais de verificação de IA dessa maneira. A IA desempenhará um papel fundamental quanto mais digitalizados ficarmos. Ele fornece autenticação mais refinada de uma maneira que não é onerosa para o usuário.
De que maneiras você acha que as identidades digitais descentralizadas transformarão os sistemas tradicionais de verificação e autenticação de identidade?
Se um usuário final puder oferecer dados de serviços que foram pré-verificados por um emissor autorizado e, em seguida, armazenados em sua carteira com segurança, todo o processo de verificação de identidade pelo qual ele geralmente passa ao tentar se registrar em um serviço pode ser dissociado dessa experiência.
As pessoas serão capazes de obter uma credencial um dia – e então, no dia seguinte, semana ou ano, serão capazes de dizer de forma convincente a um provedor de serviços que eles já provaram ter idade suficiente, ou que eles têm uma licença para dirigir, ou o que você tem. E, como mencionado, os usuários podem ser capazes de autenticar de uma forma totalmente sem senha, desbloqueando sua carteira e compartilhando o que precisa ser conhecido sobre eles.
Dessa forma, a abordagem descentralizada pode fortalecer a qualidade e melhorar a experiência de autenticação sem senha, mesmo além do que já é possível hoje, garantindo que não tenhamos que nos comprometer. Confiar no desbloqueio de dispositivos biométricos também é particularmente poderoso para melhorar a privacidade. As senhas tradicionais são muito fracas, desatualizadas e ineficazes; As credenciais baseadas em carteira podem ajudar os usuários a se aproximarem de um mundo onde nunca mais precisam fazer login novamente ou até mesmo se registrar para uma conta novamente.
Quais são os principais fatores a serem considerados ao projetar um sistema de identidade digital descentralizado que seja seguro e fácil de usar?
Uma experiência segura e fácil de usar é fundamental para tornar a identidade descentralizada um sucesso. Meu primeiro conselho é garantir que a experiência seja perfeita e respeitosa ao pedir informações.
Uma vez que as organizações tenham uma quantidade maior de dados verificáveis e verdadeiros à sua disposição por meio de credenciais, elas precisam garantir que eles estejam sendo infundidos corretamente em sua infraestrutura de TI. Minha segunda recomendação é usar sistemas maduros de gerenciamento de identidade e acesso (IAM) para garantir uma abordagem unificada para usar e proteger esses dados e orquestração para garantir fluxos de dados corretos e jornadas do usuário.
Em terceiro lugar, garantir que as partes dos sistemas de identidade descentralizada que têm a ver com segurança e privacidade sejam implementadas de forma robusta, para que as promessas feitas pela identidade descentralizada hoje possam ser realizadas. Os padrões para identidade descentralizada e carteiras definem uma maneira de permitir que o titular da carteira revogue suas permissões para uso de dados. É importante que as organizações, neste caso, façam a coisa certa e estejam preparadas se a revogação acontecer.
Finalmente, o cenário da carteira digital é muito barulhento e complexo no momento, por isso é importante ser flexível sobre a interação com carteiras de identidade. Os padrões entram em jogo aqui para garantir que os principais players de carteira digital, bem como mais provedores de especialidades de nicho, interoperem com os serviços nas funções de emissor e verificador da forma mais transparente possível.
Com o surgimento de regulamentos de privacidade de dados, como GDPR e CCPA, como os sistemas de identidade digital descentralizados garantem a conformidade com essas leis?
É importante notar que estar em conformidade não garante necessariamente segurança ou privacidade. Dito isto, uma ideia-chave por trás dos sistemas de identidade digital descentralizados é tirar a possibilidade de não estar em conformidade, minimizando a exposição do serviço a dados pessoais. Ainda não sabemos se isso é verdade; a experiência de implantações de produção em larga escala será necessária para ver como tudo se desenrola.
Quais são alguns dos riscos potenciais associados à adoção generalizada de identidades digitais descentralizadas e como eles podem ser mitigados?
A implementação incorreta – ou de má-fé – dos padrões e fluxos é um risco. E se alguns desses serviços estiverem solicitando dados pessoais na forma de credenciais, mantendo-os por um longo tempo e não respeitando as instruções de revogação? Isso poderia criar muito mais cópias de dados de alta qualidade em muito mais repositórios do que antes.
Se as coisas derem certo, a ideia é minimizar a pegada dos dados pessoais das pessoas. Se as coisas derem errado, podemos maximizá-lo. As carteiras de identidade digital tentam descentralizar as informações de identidade, ou seja, literalmente colocar esses dados “no limite” na forma de carteiras de indivíduos. Em algum momento, esses dados precisam chegar ao centro das empresas para que elas possam fazer seu trabalho. O que acontece com os dados nesse ponto é o risco real.
FONTE: HELPNET SECURITY