No mundo digital, a identidade é a chave para tudo o que fazemos. Quer continuar de onde parou no streaming da série que você está assistindo? Quer saber quando aquela compra que você fez por impulso vai chegar? Para qualquer coisa que fazemos no mundo digital, ser capaz de provar quem somos e as permissões que temos para acessar informações é fundamental.
O mesmo se aplica aos negócios digitais.
A identidade digital é a porta de acesso aos sistemas usados por pessoas que trabalham na sua empresa, parceiras e clientes. Estabelecer quem tem quais direitos de acesso está ficando mais difícil — principalmente se você se limitar a usar ideias antiquadas sobre gerenciamento de identidade.
Atualmente, qualquer processo de negócio pode depender de uma quantidade de sistemas interconectados, cada um funcionando em um serviço de nuvem diferente. Em cada etapa desse processo, a reputação da sua empresa vai depender da sua capacidade de garantir que apenas as pessoas com privilégios suficientes possam acessar informações específicas.
A empresa de pesquisa e consultoria Forrester observa em seu relatório New Tech: Decentralized Digital Identity (DDID), Q1 2020, que “as estruturas de identidade digital de hoje são centralizadas, sofrem com a falta de confiança, não são portáteis e não dão controle aos indivíduos consumidores.”
É necessária uma nova abordagem. E uma das mais promissoras gira em torno da identidade descentralizada, aponta Dave Elliman, head global de tecnologia na ThoughtWorks. Em um sistema de identidade descentralizada, entidades — pessoas, organizações e coisas — ganham controle sobre suas identidades, habilitando interações confiáveis.
O poder por trás dessa abordagem é permitir que as pessoas compartilhem diferentes partes de suas identidades com diferentes serviços, conforme acharem adequado, explica Elliman. “Existem detalhes que você pode compartilhar com seu plano de saúde, mas que não devem ser compartilhados com um banco, por exemplo. A promessa de um sistema de identidade centralizada é um único sistema que permite se autenticar com várias entidades.”
Mas não são apenas os indivíduos que podem ganhar com uma abordagem descentralizada de identidade e autenticação.
As empresas de hoje já lidam com uma complexidade incrível quando se trata de gerenciar dados de clientes. Cada cliente pode adotar uma série de diferentes "identidades" ao lidar com uma empresa, explica David Colls, diretor de práticas de IA e dados na ThoughtWorks Austrália.
Por exemplo, um único indivíduo pode ser um cliente antigo e valioso da sua empresa, ao mesmo tempo em que atua como tesoureiro do clube de futebol local que também é cliente. “Se você descentralizou a identidade como uma construção arquitetural deliberada, essa escolha devolve o poder ao cliente, mas de uma forma que torna mais fácil para as organizações fornecer serviços para as diferentes identidades que o cliente escolhe adotar”, diz Colls. “Essa abordagem habilita a capacidade de lidar com grande parte da complexidade que surge como resultado do fenômeno emergente da identidade descentralizada.”
Construindo a identidade descentralizada em bases sólidas
Os sistemas de identidade descentralizada são fundamentalmente diferentes das abordagens atuais.
Atualmente, a mentalidade empresarial em torno da próxima geração de abordagens de autenticação está majoritariamente focada em iniciativas como a Secure Production Identity Framework For Everyone (SPIFFE), diz Elliman.
A SPIFEE visa resolver o problema de autenticação em sistemas em nuvem distribuídos, sem depender de senhas ou chaves de APIs.
Mas essas abordagens colocam o ônus do gerenciamento de autenticação sobre a empresa. Um sistema de identidade descentralizada coloca o indivíduo no controle. E há um apoio crescente para esse tipo de transferência de poder ao usuário por parte de órgãos reguladores, afirma Elliman.
Regulamentações como o General Data Protection Regulations (GDPR) da União Europeia e o California Consumer Privacy Act (CCPA) estão tratando de questões de identidade com um foco agudo em devolver poder aos indivíduos, diz Danilo Sato, consultor principal de tecnologia na ThoughtWorks Reino Unido.
Noções como o direito de ter suas informações esquecidas ou o princípio de que os indivíduos podem exigir saber quais dados as empresas têm sobre eles são um verdadeiro desafio para os negócios hoje. “Como indivíduo, eu não sei se confiaria que uma empresa realmente destruiria meus dados pessoais caso eu solicitasse”, diz Sato.
Um sistema de identidade descentralizada resolve essa questão ao compartilhar apenas os dados que o indivíduo deseja compartilhar. Se uma pessoa mudar de ideia sobre compartilhar seus dados ou decidir que uma organização não precisa mais deles, ela tem o controle necessário para revogar o acesso.
Os padrões são habilitadores fundamentais para a construção de um sistema de identidade descentralizada. Organizações como a Decentralized Identity Foundation estão liderando o caminho nesta área. A entidade tem como objetivo desenvolver os componentes de um ecossistema de identidades aberto, baseado em padrões e descentralizado para pessoas, organizações, aplicativos e dispositivos. Boa parte de sua atuação se concentra na noção de identificadores descentralizados abertos — algo que é totalmente único, persistente e pode ser gerenciado por indivíduos.
E onde entra o blockchain?
É neste momento que uma parte da comunidade defensora da identidade descentralizada começa a falar sobre blockchain. Afinal, estamos buscando descentralização e trocas de informação criptograficamente protegidas. E isso é o feijão com arroz do blockchain.
Elliman, no entanto, é cauteloso.
“Blockchain é definitivamente um caminho promissor para identidade descentralizada, mas não é de forma alguma o único. Muitas das ideias poderosas por trás da identidade descentralizada podem funcionar sem blockchain, então é importante não fundir as duas coisas.”
Embora entusiastas do blockchain tenham ficado exageradamente otimistas com o potencial da tecnologia para uma variedade de aplicações, existem algumas razões sólidas para ao menos considerar seu papel na identidade descentralizada.
Uma delas é o investimento que tem sido dedicado ao blockchain. Embora a pandemia de COVID tenha atingido orçamentos de TI em todo o mundo, espera-se que setores como bancos, governo e saúde continuem priorizando investimentos em soluções de gerenciamento de identidade baseadas em blockchain. O grupo de inteligência de mercado IDC estima que o gerenciamento de identidade é responsável por mais de 7% de todos os gastos com blockchain. Nitidamente, há empresas suficientes convencidas da viabilidade do blockchain para investir quantias significativas na tecnologia.