Passwordless: como nossa identidade real pode ser usada para evitar fraudes
Hierarquias e conceitos de segurança são importantes para se proteger melhor
A identidade tem muitas facetas que podem ser usadas para o conceito de passwordless. Cada indivíduo possui identidades de trabalho, cujas empresas detém o controle; identidades genéricas e sociais – neste caso, na sua maioria, as big techs (como Google ou Facebook) têm acesso a muitas das informações relacionadas com a nossa identidade social e pessoal; e temos governos que, em diferentes jurisdições e diferentes países, desempenham um papel ativo ou pelo menos semiativo nas nossas identidades digitais e certamente desempenham um papel extremamente ativo nas nossas identidades reais.
“E temos bancos que são depositários de confiança dos nossos ativos financeiros e, nessa perspectiva, devem fazer um bom trabalho para garantir que só nós temos acesso às nossas contas financeiras. É por isso que acredito que nenhuma dessas entidades será a única com a nossa identidade. Acho que a nossa identidade é uma combinação. Todos esses agentes provavelmente trabalharão juntos nisso”, afirma Andre Durand, CEO da Ping Identity.
No entanto, é verdade que existe alguma hierarquia. Como as nossas identidades reais são emitidas pelos governos e todas as nossas interações privadas, comerciais ou pessoais são construídas sobre identidades verificadas por eles, os governos são fundamentais nesta discussão, segundo ele.
Leia mais: Crimes cibernéticos com IA ameaçam segurança de empresas, alerta TCS
Mas como tudo isso está relacionado ao conceito de passwordless? “Muitas técnicas de listas de senhas aproveitam a biometria, essencialmente a identificação facial. A intersecção acontece quando tentamos conectar a biometria com a sua identidade real e combiná-las para estabelecer um nível de confiança no qual o restante das interações comerciais possa confiar”, explica Andre.
Por exemplo, se o governo disser que sou Laura com este rosto, e uma empresa puder autenticar meu rosto e conectá-lo à minha identidade real, eles saberão essencialmente que estão lidando com uma pessoa real.
“E quando fazemos isso, somos livres para enviar dinheiro uns aos outros. Somos livres para celebrar contratos legais. Conseguimos nos comunicar com outras pessoas com um certo nível de confiança maior ao saber que as comunicações vêm de nós mesmos”, acrescenta André.
Por outro lado, isso pode ser um desafio com deep fake e IA. “Não há dúvida de que algumas das técnicas que usamos historicamente para estabelecer confiança estão agora sendo atacadas por deepfakes e pela IA. Há sempre uma resposta para cada novo visual, sempre que elevamos a barra. Não há dúvida de que as deep fakes nos forçarão a fazer um trabalho melhor no aproveitamento da mesma tecnologia para garantir que não seja uma deep fake”, acredita Andre.
Mesmo com esse problema, o especialista afirma que as senhas são facilmente comprometidas. Já faz algum tempo que o mercado entende que as senhas não são suficientes, por isso foram adicionadas a autenticação de dois fatores e depois a autenticação multifator para não nos livrarmos da senha.
O conceito de não utilizar senhas ajuda a tornar mais difícil para hackers remotos roubarem uma identidade e entrarem em sua conta. Um dos motivos, explica Andre, é que um dos melhores pilares ao falar de segurança é: algo que você conhece (senha), algo que você tem (seria um telefone, por exemplo) e algo que você é.
“É mais difícil para um adversário roubar todos os três. Se eles não estiverem fisicamente próximos de mim, não seriam capazes de roubar meu telefone. Quando você adiciona um dispositivo que precisa ser roubado ou algo que precisa ser roubado, ainda que alguém da Índia ou da Rússia conseguisse a senha, não conseguiria ter acesso à conta”, alerta o especialista.
Passwordless no Brasil
André Facciolli, CEO da NETbr, confidencializa que o Brasil está em um nível bem próximo dos níveis internacionais em passwordless. Um dos motivos é o Open Banking, que alavancou a integração dos bancos, sendo regidos por uma entidade governamental.
“O Brasil sempre foi referência em tecnologia bancária, mas agora é uma referência mundial em Open Banking e em modernização de identidade. E tem outro fator importante, o Brasil por outro lado, é um dos países mais evoluídos em fraude. Isso força a indústria financeira a estar em um outro patamar de tecnologia”, diz ele.
Pergunto ao especialista o que mudaria com a LGPD caso o passwordless se tornasse uma realidade. “Quando a gente fala de identidade do consumidor, é preciso gerar os melhores dados e ter a consciência de que o cliente poderá permitir ou não quais os dados a serem compartilhados. Hoje em dia, com todo o contexto, a LGPD está embarcada nesses conceitos”, finaliza ele.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!