Home > Notícias

Como a indústria pode se beneficiar da reutilização de dados de identidade

Capacidade de reutilizar dados para indivíduos em diferentes sistemas simplificaria a autenticação. Mas desafios exigem colaboração do setor


Susan Morrow, da CSO (EUA)

29/05/2019 às 9h00

Foto: Shutterstock

O número de eventos, fóruns e discussões que se concentram ao redor da identidade digital aumentou muito desde que me envolvi pela primeira vez no setor. No entanto, ainda não temos grandes avanços na criação de uma identidade digital utilizável por todos.

A natureza evasiva da “solução milagrosa” de identidade — como tornar a identidade acessível e utilizável a todos em um ecossistema complexo de investidores — continua a assombrar o setor. Especialistas em identidade em todo o mundo estão tentando reunir ideias sobre uma solução. Mas o problema continua. Por que a identidade digital ainda é um ninho de problemas de interoperabilidade e sistemas diferentes?

O que está acontecendo com o cenário de identidade? O cenário de identidade atual pode ser descrito como “fluido”, com muitas abordagens em muitos casos de uso diferentes. É realmente uma mescla de soluções. Se uma organização lança uma proposta para uma solução de identidade, é melhor que ela se certifique de que sua lista de requisitos reflita de perto o que deseja, pois obterá um arco-íris de opções como resposta.

De um modo muito geral, você pode dividir o cenário de identidade assim:

Identidade cidadã: muitos governos já apostam no espaço de identificação do cidadão ou estão se preparando para isso. No Reino Unido, por exemplo, o programa Verify agora tem cerca de seis anos e tem mais de 4 milhões de usuários que o utilizam com cerca de 19 serviços governamentais. Mas ali fica; ainda não se encontrou qualquer reutilização comercial.

Aplicativos móveis de ID: aplicativos como o Yoti oferecem uma identidade baseada em dispositivo móvel que os participantes do ecossistema podem usar. O Yoti tinha mais de 7 milhões de usuários em maio de 2019 e centenas de pessoas que confiavam consumindo o ID do Yoti. Alguns outros aplicativos de ID estão aparecendo, incluindo o Verified.me, da SecureKey.

Outro esforço que vale a pena mencionar, mas está nos estágios iniciais, é uma colaboração entre a Mastercard e a Samsung para oferecer uma “... melhor maneira das pessoas verificarem de forma conveniente e segura sua identidade digital nos dispositivos móveis”. Novamente, os aplicativos têm casos de uso específicos e tendem a permanecer em um ecossistema confinado, mas têm um grande potencial de reutilização.

Contas sociais e federadas: Facebook, Google, Amazon e similares não são realmente consideradas como identidades, mas geralmente contêm alguns ou todos os dados necessários ao criar uma identidade digital em outro lugar. Essas contas têm um enorme potencial de reutilização em um ecossistema mais amplo.

Plataformas de gerenciamento de acesso e identidade do client: os jogadores nessa área incluem Okta, Ping, Janrain e Forgerock. Suas plataformas abrangem um mix de marketing e análise de clientes, além de requisitos mais tradicionais de IAM. Eles geralmente são baseados em protocolos padrão, para que possam trabalhar em um ecossistema mais amplo.

Serviços de identidade e APIs: isso pode cobrir muitas áreas, mas uma das mais promissoras oferecidas está na conectividade de todos os players em um cenário de identidade. Empresas como a Avoco Secure e SecureKey oferecem tecnologia que pode unir componentes do ecossistema para construir a camada de interoperabilidade.

Identidade auto-soberana (SSI): chegando no interior é SSI. Essa abordagem descentralizada da identidade é toda sobre colocar a identidade de volta nas mãos do usuário. No entanto, questões sobre o uso comercial da SSI ainda permanecem sem resposta.

Como podemos resolver o problema de identidade?

Como você pode ver, o cenário de identidade é complexo com muitas partes móveis. O principal obstáculo à criação de um Shangri-La para o espaço de identidade é o playground muito díspar, desconectado e não interoperável que vemos hoje.

Criamos uma situação em que uma identidade digital, que é um reflexo de um indivíduo, está sendo dividida em milhares de frações, cada uma desconectada, muitas vezes isolada e colocada em sistemas fechados. O resultado são milhares de trechos de dados repetidos. Esta é uma das razões pelas quais o roubo de dados pessoais é tão fácil e tão abundante.

Isso foi recentemente resumido por Alastair Campbell, do banco HSBC, em um evento da OIX em Londres, onde ele disse: "Criar um mercado vibrante juntos, em vez de um ‘tudo ou nada’ – é nisso que todos nós deveríamos estar interessados”.
Temos que nos mudar desse lugar fraturado para uma cultura de reutilização.

O antigo ethos “faça e conserte” precisa encontrar sua contraparte digital no mundo da identidade digital. Aqui estão algumas ideias para fazer esse trabalho:

Federação e reutilização: o mundo da identidade é composto de silos de ofertas por meio de vários fornecedores. A identidade digital não deve funcionar assim. A identidade digital é realmente um ecossistema. Qualquer identidade deve ser transferível por qualquer parte confiável que precise dela. Criar uma “loja fechada” na identidade digital está fadado ao fracasso. Os ecossistemas devem ser construídos para permitir que as identidades existentes e os dados de identidade sejam desenhados e reutilizados.

Aplicativos como o Yoti e o digi.me, plataformas que incluem o Ping e o ID do cidadão, como o Verify e o eIDAS, podem ser conectados e oferecidos a quem precisa dos dados.

Melhorias: o ecossistema precisa acomodar novos dados que adicionem peso aos IDs reutilizados, se necessário.

Eventos: muitas vezes não é sobre quem você é, mas o que você está tentando fazer. Identidade nos permite fazer trabalhos on-line, e estes podem ser orientados por eventos.

Regimes e regras: a base legal para permitir a reutilização de necessidades de identidade existentes deve ser analisada. Isso deve se concentrar na camada de interoperabilidade. É provável que haja casos em que os concorrentes precisem bloquear o uso de determinados aplicativos ou plataformas de identidade. Isso não nega o uso geral de identidades reutilizáveis dentro de um ecossistema mais amplo, mas permite a criação de microecossistemas.

O ecossistema de identidades deve ser sobre como criar IDs flexíveis em torno de modelos de negócios viáveis, os quais ofereçam valor ao usuário e ao serviço que consome o ID. Afinal, não é muito frequente você querer um ID real. Normalmente, você só precisa da resposta a uma pergunta, por exemplo, “você tem mais de 18 anos e pode comprar esse produto com restrição de idade?”.

Encontre uma cura para a identidade

A reutilização de contas de identidade existentes pode ser a chave para resolver a questão de um mundo de identidade díspar. Permitir que todos joguem atuará para abrir este sistema fechado. As iniciativas de identidade do governo poderão encontrar um caso de uso comercial e até um ROI.

O que é fundamental é a colaboração por meio de entidades como Open Identity Exchange (OIX) e Kantara. Organizações como Kantara faz um excelente trabalho na criação de padrões no espaço de identidade, mas esse trabalho precisa ser ampliado com uma visão holística de como retirar a identidade dos silos e colocá-los no mundo mais amplo.

Uma palavra final do analista Martin Kuppinger na recente Conferência Européia de Identidade e Cloud 2019 resume a situação:

“Vise conectar às identidades – não gerenciá-las por si. Organize serviços e não invente o que já existe. Separe os dados de aplicativos de modo que ele possa ser usado e que não esteja bloqueado”.

 

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail