O desafio da identidade online (I): a identidade é o novo perímetro

Muitas vezes nos encontramos em situações em que nos deparamos com uma missão e, à medida que a missão avança, percebemos que as primeiras opções que fizemos para realizá-la não foram boas. Nesse momento, temos duas opções: começar do zero ou aliviar a tomada de decisões insatisfatórias com trabalho e esforço extras.

A Internet foi criada de forma insegura

Esta é uma frase que certamente já ouvimos os profissionais de segurança cibernética dizerem. Essa mudança emocionante que a transformação digital significou, uma das mais drásticas da história da humanidade, sempre foi construída com base em coisas que não haviam sido feitas antes. Ao longo do caminho, fizemos escolhas que, às vezes, se mostraram imprudentes. Mas, como dissemos antes, nos vemos no caso de não podermos «reiniciar» a internet e começar do zero.

Uma dessas más escolhas que arrastamos desde o início da internet é o gerenciamento de identidade, ou seja, como um sistema sabe quem o usuário está usando. Por exemplo, quem é a pessoa que acessa seu e-mail e como ele difere de outra pessoa. Tradicionalmente, isso se baseia no uso de senhas, as quais devem apenas (precisam ser repetidas, devem) conhecer o usuário em questão. Mas, seja pela própria segurança dos sistemas (onde a senha pode ser interceptada ou roubada tanto na rede quanto no dispositivo onde é utilizada) ou porque o usuário não faz uso responsável deles, este sistema tem se mostrado extremamente frágil.

O usuário, o elo mais fraco da cadeia

Este ponto é extremamente fácil de verificar: você só precisa dar uma volta pelos canais “underground” do Telegram ou da Deep Web (ou Dark Net) para ver o número de contas de serviço premium que existem para venda: Netflix, Spotify , PrimeVideo, Twitch Gaming e praticamente qualquer tipo. É lógico inferir que essas contas de low cost sem vencimento foram roubadas de outros usuários cujo gerenciamento de credenciais e, portanto, sua identidade pode ser claramente melhorada, seja no serviço online ou em seu uso pessoal.

Tanto é verdade que estudos de prestígio a esse respeito, como o da Forrester em seu The Identity And Access Management Playbook for 2020, nos alertam que 81% das violações de segurança se originam de uma senha fraca, roubada ou usada por padrão. Isso ocorre por uma série de razões, tanto devido à responsabilidade do usuário quanto devido a defeitos de design ou implementação de segurança.

Em grande parte, isso se deve ao desconhecimento ou falta de zelo do usuário, que pensa que ninguém pode estar interessado em violar sua segurança como usuário privado. Algo que adquire um impacto muito maior quando a identidade do usuário é a porta de entrada para uma entidade maior, como uma empresa e organização. Tanto que, até o momento, provou ser o elo mais fraco da cadeia: um usuário vulnerável a ataques cibernéticos torna uma empresa vulnerável. Isso pode ser causado, sem ir mais longe, pelo uso de uma senha excessivamente fácil de adivinhar, muito comum ou reutilizada em mais de um site ou serviço online.

Também recomendo a leitura deste outro artigo sobre o bom uso de senhas. Para esses usos inadequados de senhas, os cibercriminosos desenvolveram técnicas que discutiremos na segunda parte desta série de artigos. Portanto, para não delegar essa confiança ao usuário final, empresas de segurança cibernética como a ElevenPaths se esforçam para evitar esse tipo de risco aos usuários, projetando produtos e serviços que adicionam uma camada adicional de segurança à dupla de usuários tradicionais e obsoletos/senha. Além de incluir aprimoramentos inovadores para serviços de identidade, que também cobriremos no volume 3 desta série de artigos.

O caminho para uma gestão robusta de identidade: SmartPattern

Onde está o desafio, então? Ser capaz de desenvolver tecnologia que garanta essa camada adicional de segurança sem prejudicar a experiência do usuário e sem forçá-lo a aprender ou se adaptar a um novo sistema de identificação. Chamamos identidade forte ou autenticação de nível 3 para:

• Algo que você possui: por exemplo, um dispositivo ou cartão físico.
• Algo que você conhece: por exemplo, um pin ou uma senha.
• Algo que você é: por exemplo, sua impressão digital.

Assim, como culminação e, de certa forma, spoiler de onde esta jornada de transformação digital está nos levando em termos de gestão de identidade, vamos colocar um exemplo de gestão de identidade robusta que seja confortável e utilizável pelo usuário comum de tecnologia: SmartPattern.

SmartPattern é um novo conceito no processo de autenticação robusta, bem como na autorização e assinatura de documentos através de um simples gesto do padrão móvel, que pode ser utilizado em qualquer smartphone, tablet ou touchpad de laptop como serviço de identidade.

Em outras palavras, o usuário não precisa lembrar ou salvar centenas de senhas, mas simplesmente lembrar um único padrão para todos os serviços online, por meio do qual o serviço utiliza um motor de machine learning que é capaz de detectar características únicas no traçado, que mesmo intencionalmente mostrado a outro usuário, falhará 96% das vezes, como pudemos verificar em um estudo de campo na Universidade de Piraeus, na Grécia.

Graças à sua versatilidade, o SmartPattern pode ser integrado a uma infinidade de serviços de autenticação e autorização. Por exemplo, fazer o login e / ou autorizar uma transação bancária, como já demonstramos no portal de demonstração do Nevele Bank: um banco sem senhas!

O site SmartPattern oferece mais informações a esse respeito, mas este elemento inovador e avançado serve para demonstrar que o caminho para uma identidade segura terá muitos mais caminhos além da conhecida dupla que até agora consideramos segura.

É tudo por agora. No próximo volume, falaremos sobre o cibercrime e o mercado de credenciais roubadas que continua a crescer, tanto na Deep Web quanto em canais clandestinos do Telegram.