O caminho percorrido pela gestão de acessos e identidades tem sido, ao longo das últimas décadas, um caminho de evolução permanente e marcado pelo passo de evolução das tecnologias adjacentes. Este é um percurso inevitável e fundamental para a segurança de qualquer organização e que deve ser indissociável da experiência do utilizador.     

Ações como o desbloquear de dispositivos através da utilização de acessos biométricos, ou inserir um código PIN ou até efetuar o scan do nosso passaporte, são processos de autenticação que permitem a verificação e confirmação da identidade de um utilizador de uma forma moderna e segura.

Contudo, nem sempre estes processos são convenientes ao longo da jornada do utilizador pela criação de diversas camadas de proteção que dificultam a autenticação. Neste sentido, qualquer momento de redefinição de password para o utilizador seguida de uma série de requisitos para a nova password, cria aversão pelo transtorno que causa. Como tal, o futuro da identidade está orientado por dois pilares: uma boa experiência do utilizador com reforço da segurança.

Com a introdução contínua de leis reguladoras, como é o caso do GDPR (General Data Protection Regulation), a proteção e segurança das identidades são a maior prioridade em qualquer processo de transição digital.  

Da dualidade que se acentua entre a rigidez dos sistemas de segurança e a providência de uma boa experiência ao utilizador, emergem tendências de gestão de identidades que ditam o futuro da digitalização.

Autenticação Multi-Fator: para onde caminha?

Atualmente, a gestão dos acessos é orientada pela autenticação realizada através de diversos fatores, de forma individual ou combinada. Estes fatores podem incluir: (i) algo que sabemos (password/PIN); (ii) algo que possuímos (dispositivo de criptográfico de autenticação, telemóvel, SMS temporário de verificação); (iii) ou algo que somos (biométrico, impressão digital).

O início do processo de proteção de identidades na esfera digital foi a utilização de algo que sabemos, como as passwords ou PIN’s, que continuam, até hoje, a ser a base destes métodos. A aceleração da digitalização potenciou a criação de novos processos de autenticação que assegurem a privacidade e que tornem os acessos impenetráveis.

A combinação entre o que sabemos e algo que possuímos, como um SMS temporário de verificação, tem sido um dos métodos emergentes e que os utilizadores já enraízam na sua jornada digital até na utilização dos serviços pessoais (email, social media, serviços públicos).

Mas por onde pode evoluir Autenticação Multi-Fator? Além do desenvolvimento e amadurecimento dos acessos biométricos, o caminho pode evoluir pela combinação entre algo que sabemos e algo que somos. Nomeadamente, pela interseção entre uma password e uma impressão digital, por exemplo.

Descentralização de Identidades

A expectativa do utilizador é que, no seu percurso digital, a organização disponibilize um acesso fácil e ágil à sua experiência online e que não exija a inserção constante de palavras-passe. O utilizador não está disponível para inserir fatores adicionais de autenticação.

Como tal, e nesse sentido, a identidade digital descentralizada ocupa um papel de relevo, considerando que é um sistema com base em padrões que pode proporcionar ao utilizador maior privacidade e controlo sobre os dados.

Neste novo paradigma, a identidade descentralizada traduz-se numa arquitetura em que os identificadores, como os nomes dos utilizadores, podem ser substituídos por IDs independentes. Desta forma, permitem a troca de dados com tecnologia e blockchain para proteger a privacidade e garantir a segurança das operações.

A identidade digital descentralizada promete, ainda, a restruturação da centralização digital e física atual do ecossistema de identidades numa arquitetura descentralizada e democratizada.

Self-Sovereign Identity – SSI

O SSI, Self-Sovereign Identity, é uma solução de identidade que utiliza credenciais armazenadas em mobile wallet, que, num paralelismo com o offline, se aproxima do armazenamento de cartões com dados pessoais. Através desta solução, os utilizadores podem controlar o acesso aos dados de forma a garantir a sua liberdade e a autonomia. Além disso, a identidade e dispositivos são portáteis e existe interoperabilidade entre a informação.

O modelo de SSI colmata as falhas vigentes no controlo, consentimento e na transparência da informação, que são descoradas pelas soluções atualmente em vigor no âmbito da gestão das identidades.

O Self-Sovereign Identity tem o potencial de retirar a necessidade de confiar numa entidade para o controlo das identidades e devolve, assim, o controlo de volta ao utilizador.

Passwordless authentication

O processo de passwordless multifactor authentication, ou seja, autenticação multi-fator sem palavra-passe, baseia-se no princípio de que as passwords já não são suficientes para um processo de log-in seguro, tendo como objetivo a melhoraria da experiência do utilizador. É um método que permite ultrapassar a frustração associada às camadas de segurança da Autenticação Multi-Fator com palavra-passe, sem descurar a segurança e a privacidade.

O passwordless authentication elimina a necessidade de relembrar uma password e, para além de reduzir a possibilidade de phishing, é compatível com a maioria dos dispositivos. Alia, sobretudo, a elevada segurança à conveniência do utilizador.

Este método constrói o futuro da governança de identidades, ao tornar os log-ins mais ágeis e rápidos e ao garantir um elevado nível de segurança. Ainda, os custos de IT associados são mais reduzidos, já que se elimina a necessidade de redefinição de passwords e diminui o número de tickets de apoio.

O princípio base é de que a password de acesso é algo instantâneo gerado por um equipamento controlado pelo utilizador e que gera um acesso momentâneo.

Aproxime-se do futuro das identidades

Fale connosco