Gerênciamento de Identidades

A qualquer hora, em qualquer lugar a computação móvel está se tornando mais fácil, mais atraente, e até mesmo rentável:

Os dispositivos móveis transportados por usuários móveis oferecem mais e mais poder de computação e funcionalidades, incluindo reconhecimento facial, digital, dentre outros. Além disso em nosso dia a dia mesmo em casa, e algumas industrias possuem equipamentos inteligentes, nossos eletrodomesticos, muitos usando identificador por radiofrequência (RFID).

Com isso, nosso cotidiano está tornando-se mundo inteligente, as escolhas dos mecanismos de identidade terá um grande impacto social, cultural, de negócios e aspectos políticos.

Além disso, como todos sabemos, a Internet gera e ainda gerará mais problemas de privacidade. Portanto a sua identidade tornou-se um certo problema no mundo online.

Muitos conhecidos já passaram por situações ruins quando temos uma conta fraudada, ou mesmo um cartão clonado. O que acontece com isso, especialmente em serviços online ?

Gera uma falta de confiança em fazer negócios com fornecedores e frustração para os usuários.

Portanto, toda a sociedade pode sofrer um dia com a falta de privacidade, que é uma verdadeira necessidade humana. Além das necessidades de negócios, quando falo “necessidades de negócios” é simplesmente a necessidade de lucratividade. Adicionando a isso, nosso objetivo de vida, necessidades diárias, temos uma vida agitada e não podemos gastar tempo administrando identidades digitais, precisamos de plataformas e tecnologias consistentes de gerenciamento de identidade. Permitindo usabilidade e escalabilidade, entre outras coisas.

Vou tentar de uma forma simples abranger alguns pontos.

Definição de Identidade Digital: Uma identidade digital é uma representação de uma entidade num contexto específico. Durante muito tempo, uma identidade digital foi considerado o equivalente da identidade da vida real de um usuário que indica algum dos nossos atributos:
Quem somos: nome, cidadania, aniversário, onde moramos;

• O que nós gostamos: Os nossos livros favoritos, comida, time de futebol, carros;
• O que nossa reputação é: Se formos honestos, corretos;

A identidade digital foi vista como um bilhete, um ingresso, contendo quase a mesma informação por exemplo de nosso RH ou CNH. No entanto, vemos que a ligação entre a identidade do mundo real e uma identidade digital nem sempre é obrigatório. Por exemplo, em um site de compras (Mercado Livre, OLX, dentre outros), o que importa é saber se a reputação digital do vendedor foi notável e que o vendedor pode provar que ele realmente possui produtos de qualidade.

É menos importante saber se mora no Brasil, ou no Exterior, ou se ele gosta de carros antigos. Devemos atentar que, em uma grande iniciativa de gerenciamento de identidade, uma identidade digital é definida como “o carácter distinto ou personalidade de um indivíduo. Uma identidade constituída de traços, atributos e preferências sobre as quais se pode receber serviços personalizados. Tais serviços poderiam existir on-line, em dispositivos móveis no trabalho, ou em muitos outros lugares “, isto é, sem ser mencionando um vínculo obrigatório à identidade do mundo real por trás da identidade digital.

A combinação de mundo virtual com mundo real ou não, mudou drasticamente o modo como encaramos o nosso dia-a-dia. Temos um novo conjunto de requisitos onde os problemas de segurança associados são enormes, tais como phishing, spam e roubo de identidade têm surgido.

Eles são agravadas pela mobilidade do usuário e o anonimato temporário de relações virtuais. Estamos indo em direção a um novo, verdadeiramente mundo virtual, sempre com a implicação do nosso jeito de viver. Por isso, estamos enfrentando o problema de determinar a identidade dos nossos interlocutores e da veracidade das suas afirmações.

Hoje em dia, não basta mais usar autenticação forte ou de duplo fatos. Isso não vai resolver todos estes problemas de segurança.

A gestão de identidade digital é uma questão primária que irá garantir não só o serviço e funcionalidade, expectativas, mas também a segurança e privacidade.

Visão geral do gerenciamento de identidade
Um modelo de identidade segue:

• Um usuário que queira acessar um serviço
• Provedor de identidade, emitente da identidade do usuário
• Fornecedor de serviços, entidade emissora de identidade
• Identidade, um conjunto de atributos de usuário
• Dispositivo de autenticação pessoal, que detém vários identificadores e credenciais
  e pode ser utilizado para a mobilidade

Tentando simplificar, um usuário ou utilizador pode ter várias identidades, e cada identidade pode ter atributos diferentes. E cada atributo pode ser exclusivo ou não exclusivo.

Gerenciamento de identidade se refere ao “processo de representação, utilização, manutenção, provisionamento, desaprovisionamento e entidades de autenticação como identidades digitais em redes de computadores “.

A autenticação é o processo de verificação de afirmações sobre identidades específicas. Uma falha neste ponto pode ameaçar a validade do sistema como um todo.

A tecnologia está constantemente encontrando autenticação mais forte ou “duplo fatos”, como por exemplo:

• Algo que você sabe (senha, PIN)
• Algo que você tem (token)
• Algo que você é (voz, rosto, impressões digitais)

Usabilidade é o segundo aspecto que deve ser garantido para o usuário, a menos que exista uma restrição quanto à isso em nível corporativo. Isso sim, pode ser a fonte de um problema de segurança. De fato, muitos usuários, quando inundados com senhas para lembrar, anotam mesmo, não tenham duvida disso. Guardam na gaveta, na carteira, na mochila, em qualquer lugar. Hoje em dia, podem tirar fotos e armazenar no celular, ou enviarem por e-mail. Sim, isso acontece.

Além disso, a dificuldade de implantação e gerenciamento de um grande número de identidades desencoraja o uso de um sistema de gestão de identidade. O custo de um sistema deve ser bem estudada e equilibrado, relacionando o risco e usabilidade.

Tradicionalmente, o gerenciamento de identidade foi visto como serviço central, porque foi concebido para satisfazer os requisitos de prestadores de serviços, tais como a eficácia de custo e escalabilidade. Os usuários foram negligenciados em muitos aspectos, porque eles eram forçado a memorizar senhas difíceis ou em grande quantidade.

Sistemas de gestão de identidade são elaborados para lidar com as seguintes facetas fundamentais:

• Reduzir o roubo de identidade: O problema de roubo de identidade está se tornando um grande problema nas organizações.
• Gestão: O número de identidades digitais por pessoa aumentará, assim os usuários precisam de suporte conveniente para gerenciar essas identidades e a autenticação correspondente.
• Acessibilidade: A gestão da acessibilidade deve permitir que um usuário tenha facilidade para lidar com seus contatos de modo à evitar o uso indevido do seu endereço de e-mail (spam) ou chamadas telefônicas não solicitadas.
• Autenticidade: Garantindo autenticidade com autenticação, integridade e não repúdio são mecanismos que podem impedir o roubo de identidade.
• Anonimato: Fornecendo anonimato impede rastreamento ou identificar os usuários de um serviço. Aliado à isso, impedir de fato o compartilhamento de usuários.

Sem usabilidade melhorada de gerenciamento de identidade continuaremos tendo problemas de, por exemplos, senhas de baixa complexidade, ou compartilhamento das mesmas.

Com isso o que acontecerá ? O número de ataques bem sucedidos continuarão altos.

Exigência de Privacidade
A privacidade é uma questão central devido ao fato de que as autoridades oficiais de quase todos os países têm políticas legais estritas relacionadas com a identidade. É frequentemente tratada no caso de gerenciamento de identidade, porque os negócios internacionais, tratam as questões de gestão de informações pessoais e dados seriamente.

Centralização no usuário
A evolução dos sistemas de gestão de identidade é em direção à simplificação da experiência do usuário, reforçada com a autenticação forte. Um dos princípios de uma identidade centrada no usuário é a ideia de que o usuário de um serviço Web, deve ter total controle sobre suas informações de identidade. E ter a confiança que este provedor, não irá compartilhar tais informações.

Neste ponto, devemos pensar em:

• Capacitar os usuários para que tenham controle total sobre sua privacidade;
• Fornecimento de usabilidade, como os usuários estão usando a mesma identidade para cada transação de identidade;
• Entregar uma experiência de usuário consistente, graças à uniformidade da interface de identidade;
• Limitar ataques de identidade, como phishing;
• Limitar acessibilidade / distúrbios, tais como spam;
• Rever as políticas de ambos os lados, ambos os provedores de identidade e prestadores de serviços (Web sites), quando necessário;
• Fornecimento de enormes vantagens de escalabilidade, uma vez que o provedor de identidade não precisa de nenhum conhecimento prévio sobre o prestador de serviços;
• Assegurar condições de segurança na troca de dados;
• A dissociação identidade digital a partir de aplicações;

A abordagem centrada no usuário permite aos usuários obter acesso consistente porque eles mantem controle sobre suas identidades.

Requisito de usabilidade

A segurança é comprometida por meio da proliferação de senhas de usuários e até mesmo por sua fraqueza. Na verdade, alguns usuários, como dito acima, anotam suas senhas, por elas serem por muitas vezes complicadas e ineficientes ao seu uso diário.

A segurança deve ser orientada ao usuário, porque o usuário é a pessoa em causa raiz. Todos sabemos que grande parte dos ataques, sejam os mais antigos, ou mais recentes, devem-se ao fato de tirar proveito de conhecimento por parte do usuário.

Raciocine comigo: falta de conhecimento, treinamento, educação.

Sem usabilidade, foco no usuário, teremos e continuaremos a ter por muito tempo ataques.

Software de Gestão de Identidades

Para concluirmos este primeiro artigo, vou resumir: Não importa a tecnologia que seja usada, qual software seja implementado. O que importa é que o processo seja bem definido, que seja centrado no negócio, na usabilidade.