Por Eve Maler
Diretora de tecnologia da ForgeRock , liderando sua equipe de laboratórios que investiga abordagens inovadoras para os desafios da identidade digital.
Com o Bitcoin e outras tecnologias de razão distribuída crescendo em popularidade, a descentralização é uma tendência genuína.
(Alguém disse NFT?) Existem boas razões pelas quais as pessoas – e empresas – desejam usar abordagens descentralizadas e distribuídas para reivindicar a propriedade total de seus recursos digitais e protegê-los de comprometimento.
Com uma crescente sensação de entusiasmo, seis anos atrás, um grupo de profissionais na área de gerenciamento de identidade e acesso (IAM) começou a aplicar essas abordagens à identidade digital para resolver problemas difíceis de segurança, entrega eficiente de dados pessoais confiáveis e “centralização no usuário” tudo de uma vez.
Esse esforço foi conhecido primeiro como identidade blockchain, depois identidade auto-soberana e, mais recentemente, identidade descentralizada.
A primeira era da identidade interoperável
O panorama da identidade digital amadureceu imensamente nas últimas duas décadas. Muitos provedores de serviço começaram a aproveitar a disponibilidade de autoridades de identidade externas, como governos e empregadores, para validar fatos sobre a autenticação e autorização de seus usuários finais, ajudando esses usuários a obter logon único (SSO) entre domínios. O primeiro padrão comum para isso foi o Security Assertion Markup Language (SAML), e definiu um modelo de identidade federada no qual um provedor de identidade confiável (IdP) se comunica com uma parte confiável.
A identidade federada teve tanto sucesso que ajudou a impulsionar o crescimento da indústria de IAM. Eu tinha um assento na primeira fila, tendo co-fundado o comitê de padrões SAML, co-autor da especificação e construído soluções e parcerias de sucesso com ele. No entanto, talvez não seja totalmente perfeito. O SAML tem pouco a dizer sobre o consentimento do usuário e nunca resolveu bem o SSO do aplicativo móvel. Seu primo mais novo, o OpenID Connect, ajuda com esses desafios, permitindo login social e cenários de banco aberto.
No entanto, a confiança entre os serviços é provisória. Como resultado, essa abordagem não está sendo usada para aproveitar os atributos disponíveis dos IdPs que podem ajudar as partes confiáveis a fornecer uma melhor experiência do usuário. Além disso, os dados pessoais ainda residem em servidores controlados por IdP, portanto, as contas de identidade são essencialmente propriedade das organizações. Isso significa que eles não estão apenas servindo como alvos de violação de dados centralizados, mas também – de acordo com os defensores da identidade descentralizada – dando aos usuários finais menos controle sobre suas identidades do que em uma visão totalmente centrada no usuário.
A tecnologia de identidade descentralizada tem como objetivo fazer muito melhor, tornando os usuários e seus dispositivos as únicas fontes autorizadas de dados pessoais usando carteiras de identidade digital. Eles funcionariam como se fossem carteiras de pagamento, em que um usuário poderia distribuir tantos dados pessoais mediante solicitação quanto considerasse adequado para compartilhar de maneiras ainda mais protegidas. Os emissores confiáveis alojariam os dados na forma de credenciais verificáveis (VCs) resistentes à violação, e os verificadores teriam meios de recuperar e verificar as fontes desses VCs. Os livros-razão distribuídos servem para sustentar as redes de emissores.
Um grande corpo de padrões e software de código-fonte aberto foi desenvolvido, e a abordagem descentralizada está vendo alguns pilotos mundiais para casos de uso do consumidor em uma variedade de campos, incluindo saúde e educação superior. Ao mesmo tempo, é uma nova tecnologia complexa que faz demandas complexas do ecossistema; não é fácil pedir a muitas partes que mudem de hábitos e investimentos em TI de forma tão ampla.
Tornando a identidade descentralizada predominante
Quais são alguns dos desafios que a identidade descentralizada enfrenta? Há um desafio de primeira milha. As credenciais podem ser tão confiáveis quanto a verificação de identidade realizada inicialmente. Como os usuários finais – e até mesmo as próprias carteiras – podem ser realmente testados e confiáveis para que os verificadores valorizem o resultado? Depois, há a última milha. Como uma explosão de carteiras, redes, estruturas de confiança e credenciais verificáveis pode se conectar com sistemas legados de última milha para interoperabilidade confiável no mundo real? Depois, existem os usuários finais. Essa nova alocação criptográfica de autoridade e responsabilidade, projetada para ser centrada no usuário, também oferece ótimas experiências e valor para o usuário?
Na última década, o mundo viu um grande número de inovações de IAM de natureza não blockchain. Por exemplo, a FIDO Alliance trouxe-nos uma maior padronização de autenticação multifator e biométrica forte, mais recentemente em navegadores, e a família OAuth de padrões (na qual o OpenID Connect é baseado) permitiu uma autorização forte e mais refinada de API de terceiros acessos, com consentimento do usuário e retirada incorporados. Mais uma vez, tive um assento na primeira fila, tendo contribuído para iniciativas como o UK Open Banking e Health Relationship Trust (HEART). Também inovei o padrão de compartilhamento de dados centrado no usuário denominado Acesso gerenciado pelo usuário (UMA), que permite adicionar um botão de compartilhamento interoperável e recursos abrangentes de painel de compartilhamento; UMA é necessária na arquitetura do Programa do Painel de Pensões do Reino Unido.
Para descentralizar, formar relacionamentos mutuamente gratificantes com os usuários
O que podemos tirar do movimento de identidade descentralizada?
Primeiro, a confiança é tudo. Se um provedor de serviços não pode confiar que os usuários sejam quem dizem ser, há problemas em River City. Da mesma forma, se um usuário acreditar nas promessas de uma empresa sobre quais dados pessoais ela protegerá, usará e não compartilhará mais, e a empresa não cumprir essas promessas, a confiança se esvai. É fundamental obter a verificação e o consentimento corretos.
Em segundo lugar, quando se trata de consumidores de serviços, precisamos pensar sobre identidade em termos de construção e manutenção de relacionamentos digitais confiáveis.
Com os cookies da adtech na mira regulatória e nossa pesquisa descobrindo que 70% dos consumidores preferem aplicativos que não vendem suas informações de identificação pessoal, não podemos nos dar ao luxo de pensar em termos de compras únicas ou experiências decepcionantes. Muitos consumidores também precisam gerenciar relacionamentos de pessoa para pessoa e de pessoa para dispositivo. Não estamos sozinhos neste mundo conectado.
Finalmente, é um momento emocionante! No momento, os serviços digitais já podem construir experiências sem senha e até mesmo sem uso, para que as pessoas possam ter o melhor dos dois mundos – uma experiência de usuário tranquila e fortemente autenticada com os serviços que desejam e precisam. É possível construir serviços que permitam a um segurado de saúde direcionar o compartilhamento de vários fluxos de dados de saúde, incluindo dados vindos de fontes externas à seguradora, para membros de sua família – e sentir-se confiante que o compartilhamento será interrompido se o status familiar de alguém mudar.
2020 forçou o mundo da identidade a se intensificar, e isso aconteceu. Há muito mais inovação no horizonte.
Fonte: Forbes
Ajude-nos a melhorar a tradução, escreva para [redacao@localhost]
Eve Maler (@xmlgrrl) is ForgeRock’s CTO. She is a globally recognized strategist, innovator, and communicator on digital identity, security, privacy, and consent, with a passion for fostering successful ecosystems and individual empowerment. She has 20 years of experience leading standards such as SAML and User-Managed Access and publishing research in the field, and has also served as a Forrester Research security and risk analyst. She is responsible for the ForgeRock Labs team investigating and prototyping innovative approaches to solving customers’ identity challenges, along with driving ForgeRock’s industry standards leadership. She hopes her duties still leave time to contribute to the rock ‘n’ roll outfit ZZ Auth and the Love Tokens.
O Forbes Technology Council é uma comunidade somente para convidados para CIOs, CTOs e executivos de tecnologia de classe mundial. Eu me qualifico?
Siga-me no Twitter ou LinkedIn . Confira meu site . Eve Maler
Diretor de tecnologia da ForgeRock , liderando sua equipe de laboratórios que investiga abordagens inovadoras para desafios de identidade digital. Leia o perfil executivo completo de Eve Maler h… consulte Mais informação
IDENTIDADE DIGITAL
O Crypto ID reúne as principais notícias e artigos sobre as diversas tecnologias que identificam no meio eletrônico pessoas, empresas, equipamentos, aplicações e softwares.
Confira a coluna Identidade Digital.
Identidade Digital e blockchain são temas de debate em São Paulo