Como funciona a Identidade descentralizada

O que é identidade descentralizada?

As soluções de gerenciamento de identidades centralizadas oferecem capacidades de autenticação, como logon único (SSO), e ajudam as organizações a dimensionar suas práticas de gerenciamento de identidade e acesso (IAM). No entanto, o gerenciamento de identidades centralizadas traz riscos e desvantagens. Por exemplo, os atores de ameaças frequentemente atacam autoridades centralizadas e tentam comprometer dados confidenciais. Além disso, as autoridades centralizadas criam um ponto único de falha e limitam o controle dos usuários sobre seus dados pessoais. 

A DCI (identidade descentralizada) geralmente utiliza DLTs (tecnologias de registro distribuído), como blockchain, para autenticação. Além disso, a DCI pode solucionar desafios relacionados ao gerenciamento de identidades centralizadas. A DCI oferece suporte à autenticação desvinculada de autoridades centralizadas que armazenam dados pessoais identificáveis (PII) em um banco de dados centralizado. 

No entanto, a DCI apresenta desvantagens. Identidades descentralizadas podem criar desafios de escalabilidade e complexidades. A adequação da DCI ao seu caso de uso depende do contexto; não existe uma resposta única que sirva para todos os casos. Com isso em mente, este artigo apresenta uma visão geral da DCI examinando casos de uso comuns, benefícios e desafios de implementação.

A identidade descentralizada visa melhorar a segurança, reduzindo a dependência de autoridades centrais, mas não elimina os ataques baseados em identidade. Os atores de ameaças ainda exploram sistemas de identidade por meio de engenharia social, credenciais comprometidas e sequestro de sessão. As organizações precisam de uma abordagem em camadas para a segurança de identidade— combinando identidade descentralizada com proteção de identidade em tempo real.

Conceitos fundamentais da identidade descentralizada

A DCI dispensa a necessidade de uma autoridade central; em vez disso, ela utiliza frameworks multiplataformas padrão para gerar identidades e credenciais de usuário exclusivas, sem depender de PII do usuário. Essas identidades são frequentemente armazenadas pelo usuário em um blockchain, que é um registro distribuído com suporte criptográfico, garantindo que nenhuma entidade individual possa comprometer todo o sistema. 

Vamos analisar os principais componentes da DCI que dão suporte à descentralização e à privacidade dos dados pessoais.

Identificadores descentralizados

Assim como qualquer solução de identidade, a DCI requer identificadores de usuário exclusivos. Um DID (identificador descentralizado) é uma sequência alfanumérica única associada a uma identidade em uma implementação de DCI. Os DIDs são controlados pelo usuário e podem ser verificados sem uma autoridade central. Por definição, os DIDs não incluem dados pessoais como números de telefone, endereços de e-mail ou nomes. 

Identidade autossoberana

A SSI (identidade autossoberana) é uma implementação específica de identidade descentralizada que oferece aos usuários controle total sobre sua identidade e dados digitais. Como o usuário determina quais informações podem ser acessadas a qualquer momento, isso aumenta a confiança do usuário e atenua as preocupações com a privacidade, eliminando a necessidade de armazenamento de dados por terceiros. A SSI é um subconjunto da DCI, mas não é a única maneira de implementar a DCI.

Tecnologia blockchain

Blockchain é um registro distribuído, imutável e público que permite o armazenamento seguro e à prova de adulteração, bem como a verificação da identidade do usuário. O DID público do usuário é armazenado no blockchain, que funciona como uma única fonte de verdade sobre a identidade do usuário. A maioria das soluções de DCI armazena credenciais fora da blockchain na carteira do usuário, mas algumas implementações experimentam métodos de verificação na blockchain. Quando o usuário precisa comprovar sua identidade, ele pode compartilhar provas criptográficas derivadas de suas credenciais na blockchain. Como o registro é imutável e distribuído, qualquer pessoa pode verificar a autenticidade e a integridade das credenciais sem ter acesso às credenciais reais.

Carteiras de identidade

Uma carteira de identidade é um repositório digital seguro, projetado para armazenar credenciais de usuário de forma segura e permitir o compartilhamento dessas credenciais sem revelar informações confidenciais. Ela permite aos usuários comprovar sua identidade de forma a preservar a privacidade, sem depender de uma identidade central para armazenar essas credenciais. 

Credenciais criptograficamente verificáveis

Uma identidade só é útil se for verificável. Em implementações de DCI, credenciais assinadas criptograficamente permitem comprovar identidade ou outros atributos (como situação profissional ou idade). Por exemplo, uma pessoa pode usar um documento de identidade emitido pelo governo ou um passaporte que siga o modelo de dados do World Wide Web Consortium (W3C) para gerar comprovações sob demanda, evitando o armazenamento de dados pessoais confidenciais em uma blockchain.

Casos de uso reais de identidade descentralizada

Fundamentalmente, as implementações de DCI permitem que os usuários controlem os próprios dados e protejam PII. Alguns casos de uso comuns e reais de DCI: 

• Integração digital: aplicações e serviços podem simplificar seus processos de integração utilizando credenciais verificáveis para confirmar atributos do usuário, como idade ou nacionalidade. Além de preservar a privacidade dos usuários, para as organizações, essa integração reduz o ônus de ter de gerenciar um método seguro de processamento e armazenamento de documentos confidenciais do usuário. 
• Controle de acesso: credenciais assinadas criptograficamente garantem a autenticidade das credenciais, reduzindo a possibilidade de ataques de apropriação de contas devido a vazamentos de senhas. Consequentemente, trocar opções de autenticação tradicionais pela comprovação criptográfica de identidade ajuda as aplicações digitais a reforçar a sua postura de segurança, minimizar as perdas de receita e aumentar a confiança do usuário. 
• Verificação transfronteiriça: documentos físicos contêm PII confidenciais e estão sujeitos a riscos de roubo e adulteração. Como alternativa, organizações privadas e serviços governamentais podem usar a DCI para identificar indivíduos para fins de viagens internacionais, emissão de vistos e trabalho remoto, reduzindo assim a dependência de documentação física.

Principais benefícios da identidade descentralizada

A DCI oferece aos usuários maior controle sobre sua identidade, ao mesmo tempo em que reduz as preocupações com a privacidade e o risco de comprometimentos de dados. Vamos considerar quatro benefícios principais da DCI na prática. 

Nº 1: Privacidade aprimorada e controle pelo usuário

A DCI permite que os usuários assumam o controle total de seus dados, eliminando a dependência de uma autoridade central para o armazenamento de credenciais. Isso proporciona ao usuário tranquilidade em relação à sua privacidade e segurança de dados, uma vez que as credenciais são armazenadas em um sistema distribuído, criptografado e à prova de adulteração. 

Nº 2: Risco reduzido de comprometimentos de dados 

Com o aumento do número de comprometimentos de dados relatados pela CrowdStrike nos últimos anos, as organizações estão encontrando cada vez mais dificuldades para proteger seus sistemas de armazenamento de dados contra as ameaças em constante evolução. Um comprometimento de dados em uma autoridade central afeta as organizações que dependem dela para autenticação, podendo resultar em perda de receita e da confiança do usuário. A adoção da DCI reduz esse risco, pois o sistema deixa de depender da segurança de um único fornecedor de armazenamento de dados. 

Nº 3: Interoperabilidade

Os componentes principais da DCI — como DIDs e credenciais verificáveis — são baseados nos padrões do W3C amplamente adotados. Essa abordagem baseada em padrões permite integrações e interoperabilidade perfeitas entre plataformas. 

Nº 4: Alinhamento com os princípios de Zero Trust 

Nos sistemas tradicionais de armazenamento de credenciais, os usuários precisam confiar na autoridade central, o que aumenta o risco de comprometimento de dados caso essa autoridade central seja comprometida. A DCI está alinhada com os princípios de Zero Trust, pois parte do pressuposto de que nenhuma entidade é confiável por padrão. 

Desafios e limitações da identidade descentralizada

A DCI é uma tecnologia recente que ainda não foi amplamente adotada e apresenta desafios de escalabilidade e conformidade. Nesta seção, vamos explicar os desafios e as limitações comuns enfrentados atualmente pelas implementações de DCI. 

Barreiras à adoção 

Apesar dos seus benefícios, a adoção da DCI é baixa porque os provedores de identidade centralizada existentes hesitam em mudar. As organizações também podem enfrentar obstáculos logísticos ou regulamentares significativos ao migrarem seus sistemas existentes para uma nova solução de armazenamento de identidades. 

Preocupações com escalabilidade

Com o aumento do número de usuários, os registros distribuídos podem sofrer problemas de latência devido à congestão da rede e à lentidão na resolução de identidades. Além disso, operações criptográficas exigem alto poder computacional e podem ter dificuldades de atender aos requisitos de alta taxa de transferência, presente nas grandes organizações que possuem milhões de usuários. 

Questões regulamentares e de conformidade 

Com a constante evolução dos requisitos de conformidade regulamentar e das leis de privacidade, como GDPR e o CCPA, pode ser um desafio garantir a contínua conformidade dos sistemas de DCI. Embora os provedores de identidade centralizada contem com equipes dedicadas de especialistas para lidar com essas mudanças regulamentares, as soluções de DCI exigem um esforço coordenado e coletivo de várias organizações para manter o sistema. 

Experiência do usuário final

A DCI pode apresentar uma curva de aprendizado acentuada para usuários que podem não estar familiarizados com novas tecnologias ou processos, como carteiras de identidade e chaves criptográficas. Além disso, pode ser difícil para alguns usuários gerenciar com segurança suas chaves de recuperação e carteiras, já que as contas do usuário se tornam irrecuperáveis após a perda dessas credenciais.

A CrowdStrike oferece uma solução abrangente de segurança de identidade

As soluções tradicionais de gerenciamento de identidades centralizadas deixam os usuários suscetíveis a comprometimentos de dados e roubo de identidade, pois exigem que eles confiem seus PII a uma autoridade central. A identidade descentralizada reduz esse risco ao devolver o controle dos dados de identidade aos usuários, mas apresenta desvantagens relacionadas à complexidade e ao gerenciamento. As organizações modernas precisam de uma solução de identidade abrangente que seja escalável e, ao mesmo tempo, limite os riscos relacionados aos dados. 

O CrowdStrike Falcon® Next-Gen Identity Security oferece soluções abrangentes de segurança de identidade e segurança de endpoint, permitindo que as organizações protejam as identidades dos usuários em ambientes modernos por meio de: 

• Proteção em tempo real contra ataques de identidade.
• Integração perfeita com sistemas de Zero Trust para evitar movimento lateral.
• Monitoramento avançado de eventos de autenticação, autorização e acesso para detectar automaticamente comportamentos anômalos do usuário.
• Complementação dos esforços da DCI, protegendo tanto os sistemas de identidade tradicionais quanto os modernos.