DATA DA PUBLICAÇÃO 14/06/2011 | Informática
Plano dos EUA quer permitir autenticação sem uso de senhas
Imagine se você pudesse visitar o site de um hospital em que um parente seu esteve recentemente e obter, sem complicação, sem precisar de uma senha de acesso, o relatório médico criado pelo hospital – e que ainda isso pudesse ser feito pelo celular de forma segura. Esse é um cenário contemplado na estratégia de identidades digitais dos Estados Unidos (NSTIC), um plano que busca implantar, dentro de dez anos, um conjunto de tecnologias que deve viabilizar a identificação segura dos internautas.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Um dos problemas atualmente existentes na internet é a questão de identidade. No modelo atual, cada site que precisa identificar o internauta requer um usuário e senha. No entanto, certas conexões, como envio de e-mails e a autenticação em bancos, entre outras, ainda carecem de uma segurança maior.
Até hoje, o envio de e-mails não é sempre autenticado, ou seja, alguém pode enviar um e-mail parecendo ser você. Já nas transações bancárias pela internet existe a possibilidade de fraudes como phishing, em que um criminoso cria uma página similar à do banco para confundir correntistas.
Já o uso de uma grande quantidade de senhas incentiva os usuários a usarem senhas fracas ou as mesmas senhas várias vezes, enquanto se apresenta como uma barreira para novos sites. Por exemplo, um site de compras precisa primeiro convencer o internauta a gerar um cadastro antes de finalizar a aquisição do produto ou serviço.
É para resolver esses problemas que foi criado o a “estratégia nacional para identidades confiáveis no ciberespaço” (NSTIC).
O plano escrito pela Casa Branca prevê mais ações da iniciativa privada do que do governo. As empresas fornecedoras de identidades (“RGs digitais”, por assim dizer) seriam instituições privadas, como provedores de serviços de comunicação, bancos, universidades, entre outros. As empresas responsáveis por autorizar outras organizações a participarem no “Ecossistema de Identidades” também seriam privadas.
Ao governo caberia supervisionar as atividades e ser o pioneiro a adotar o sistema em suas operações internas e externas para criar os incentivos necessários à adoção do plano. As especificidades do NSTIC estão sendo discutidas pelo NIST, o órgão de normas dos EUA, equivalente à ABNT no Brasil.
Como funcionaria
No exemplo que deu início a esta coluna, o provedor de identidade seria a operadora do serviço de telefonia de celular. Ao acessar o ambiente seguro do hospital, a identidade da pessoa é verificada de forma transparente. Quando o histórico médico do parente é solicitado, o hospital busca um “provedor de atributos”, que vai confirmar sua autorização para solicitar esses dados em nome do seu parente. Tudo isso é feito de tal forma que nem o provedor de atributos, nem a companhia de celular tenham detalhes da operação, mantendo a privacidade.
O “provedor de atributos” é capaz de fornecer informações de um indivíduo sem revelar informações precisas. Por exemplo, alguém que quer acessar uma sala de bate-papo para adolescentes entre 13 e 19 anos terá um provedor de atributos que irá garantir que o internauta atende esse critério, sem precisar revelar a data de nascimento exata e sem precisar todos os dados disponíveis no provedor de identidade.
Outro exemplo dado pelo governo americano é de alguém que compra um produto em uma farmácia. Um provedor de identidade confirma que o internauta é quem ele diz ser, enquanto um provedor de atributos confirma que o internauta tem a receita para comprar o remédio – e tudo isso acontece sem que os fornecedores dessas informações saibam em qual farmácia o paciente adquiriu o remédio.
O objetivo é permitir que internautas usem as identidades e informações já cadastradas em bancos de dados de instituições que ele conhece para conseguir entrar em sistemas novos, nos quais ele ainda não possui cadastro, sem precisar criar um par de login e senha específico para aquele serviço. Seria, em alguns aspectos, semelhante ao Facebook Connect – serviço do Facebook que permite a outros sites autenticar um usuário pelo login do Facebook. Porém, as informações teriam atribuição de confiabilidade: a informação do banco é mais confiável que a fornecida pela escola, por exemplo.
Certificação digital
A difusão de provedores de identidade permitirá que um mesmo usuário tenha vários deles e, caso algum sofra alguma falha que o torne pouco confiável, outros podem ser usados sem perda de funcionalidade. É diferente do atual sistema de certificados digitais, em que um usuário tem apenas um provedor de certificado e esses provedores são tão poucos que, caso algum venha a falhar, é extremamente difícil tirá-lo do sistema sem comprometer o seu funcionamento.
Ao mesmo tempo, os provedores de identidade podem fornecer ao internauta o equivalente a certificados digitais. O plano menciona arquivos digitais certificadores, cartões inteligentes e dispositivos USB que poderiam autenticar transações e arquivos.
Empresas poderiam usar o mesmo sistema, padronizado, para autorizar seus próprios funcionários dentro de sua rede interna, permitindo que eles acessem os serviços da empresa de outros locais e ainda servindo como provedor de identidade para terceiros.
Esbarrando na realidade
O NSTIC quer fornecer serviços de identidade sem acabar com o anonimato – um direito nos Estados Unidos que não existe no Brasil (aqui, o anonimato é proibido). Por isso, a adesão ao sistema seria voluntária. Usuários ainda poderiam usar usuários e senhas, com pseudônimos, sem que sua identidade fosse verificada de qualquer forma.
O plano ainda não define qualquer tecnologia a ser usada. Ninguém ainda sabe como tudo iria acontecer, apenas quais são os objetivos do sistema. Não há incentivos definidos para que as empresas venham a fazer parte do esquema. Mesmo assim, o governo americano quer que tudo venha a ser desenvolvido com o objetivo de ser usado “internacionalmente”.
Até, talvez por isso, que a previsão de definição das tecnologias seja de dez anos – depois disso é que seria analisado a difusão do sistema para a população e internacionalmente.
Mesmo assim, a estratégia americana, embora não seja totalmente inovadora, mostra que há um grande interesse em eliminar os atuais problemas de identidade na internet de uma forma um pouco diferente da que está sendo normalmente pensada, em que existem poucos provedores de identidade e cada organização ou indivíduo tem apenas um provedor e não vários, como prevê a proposta.
A coluna Segurança Digital de hoje fica por aqui, mas volta na quarta-feira. Se você tem dúvidas, deixe na área de comentários. Sugestões de pautas, críticas ou elogios também podem ser escritos. Todos os comentários são lidos. Até a próxima!
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Um dos problemas atualmente existentes na internet é a questão de identidade. No modelo atual, cada site que precisa identificar o internauta requer um usuário e senha. No entanto, certas conexões, como envio de e-mails e a autenticação em bancos, entre outras, ainda carecem de uma segurança maior.
Até hoje, o envio de e-mails não é sempre autenticado, ou seja, alguém pode enviar um e-mail parecendo ser você. Já nas transações bancárias pela internet existe a possibilidade de fraudes como phishing, em que um criminoso cria uma página similar à do banco para confundir correntistas.
Já o uso de uma grande quantidade de senhas incentiva os usuários a usarem senhas fracas ou as mesmas senhas várias vezes, enquanto se apresenta como uma barreira para novos sites. Por exemplo, um site de compras precisa primeiro convencer o internauta a gerar um cadastro antes de finalizar a aquisição do produto ou serviço.
É para resolver esses problemas que foi criado o a “estratégia nacional para identidades confiáveis no ciberespaço” (NSTIC).
O plano escrito pela Casa Branca prevê mais ações da iniciativa privada do que do governo. As empresas fornecedoras de identidades (“RGs digitais”, por assim dizer) seriam instituições privadas, como provedores de serviços de comunicação, bancos, universidades, entre outros. As empresas responsáveis por autorizar outras organizações a participarem no “Ecossistema de Identidades” também seriam privadas.
Ao governo caberia supervisionar as atividades e ser o pioneiro a adotar o sistema em suas operações internas e externas para criar os incentivos necessários à adoção do plano. As especificidades do NSTIC estão sendo discutidas pelo NIST, o órgão de normas dos EUA, equivalente à ABNT no Brasil.
Como funcionaria
No exemplo que deu início a esta coluna, o provedor de identidade seria a operadora do serviço de telefonia de celular. Ao acessar o ambiente seguro do hospital, a identidade da pessoa é verificada de forma transparente. Quando o histórico médico do parente é solicitado, o hospital busca um “provedor de atributos”, que vai confirmar sua autorização para solicitar esses dados em nome do seu parente. Tudo isso é feito de tal forma que nem o provedor de atributos, nem a companhia de celular tenham detalhes da operação, mantendo a privacidade.
O “provedor de atributos” é capaz de fornecer informações de um indivíduo sem revelar informações precisas. Por exemplo, alguém que quer acessar uma sala de bate-papo para adolescentes entre 13 e 19 anos terá um provedor de atributos que irá garantir que o internauta atende esse critério, sem precisar revelar a data de nascimento exata e sem precisar todos os dados disponíveis no provedor de identidade.
Outro exemplo dado pelo governo americano é de alguém que compra um produto em uma farmácia. Um provedor de identidade confirma que o internauta é quem ele diz ser, enquanto um provedor de atributos confirma que o internauta tem a receita para comprar o remédio – e tudo isso acontece sem que os fornecedores dessas informações saibam em qual farmácia o paciente adquiriu o remédio.
O objetivo é permitir que internautas usem as identidades e informações já cadastradas em bancos de dados de instituições que ele conhece para conseguir entrar em sistemas novos, nos quais ele ainda não possui cadastro, sem precisar criar um par de login e senha específico para aquele serviço. Seria, em alguns aspectos, semelhante ao Facebook Connect – serviço do Facebook que permite a outros sites autenticar um usuário pelo login do Facebook. Porém, as informações teriam atribuição de confiabilidade: a informação do banco é mais confiável que a fornecida pela escola, por exemplo.
Certificação digital
A difusão de provedores de identidade permitirá que um mesmo usuário tenha vários deles e, caso algum sofra alguma falha que o torne pouco confiável, outros podem ser usados sem perda de funcionalidade. É diferente do atual sistema de certificados digitais, em que um usuário tem apenas um provedor de certificado e esses provedores são tão poucos que, caso algum venha a falhar, é extremamente difícil tirá-lo do sistema sem comprometer o seu funcionamento.
Ao mesmo tempo, os provedores de identidade podem fornecer ao internauta o equivalente a certificados digitais. O plano menciona arquivos digitais certificadores, cartões inteligentes e dispositivos USB que poderiam autenticar transações e arquivos.
Empresas poderiam usar o mesmo sistema, padronizado, para autorizar seus próprios funcionários dentro de sua rede interna, permitindo que eles acessem os serviços da empresa de outros locais e ainda servindo como provedor de identidade para terceiros.
Esbarrando na realidade
O NSTIC quer fornecer serviços de identidade sem acabar com o anonimato – um direito nos Estados Unidos que não existe no Brasil (aqui, o anonimato é proibido). Por isso, a adesão ao sistema seria voluntária. Usuários ainda poderiam usar usuários e senhas, com pseudônimos, sem que sua identidade fosse verificada de qualquer forma.
O plano ainda não define qualquer tecnologia a ser usada. Ninguém ainda sabe como tudo iria acontecer, apenas quais são os objetivos do sistema. Não há incentivos definidos para que as empresas venham a fazer parte do esquema. Mesmo assim, o governo americano quer que tudo venha a ser desenvolvido com o objetivo de ser usado “internacionalmente”.
Até, talvez por isso, que a previsão de definição das tecnologias seja de dez anos – depois disso é que seria analisado a difusão do sistema para a população e internacionalmente.
Mesmo assim, a estratégia americana, embora não seja totalmente inovadora, mostra que há um grande interesse em eliminar os atuais problemas de identidade na internet de uma forma um pouco diferente da que está sendo normalmente pensada, em que existem poucos provedores de identidade e cada organização ou indivíduo tem apenas um provedor e não vários, como prevê a proposta.
A coluna Segurança Digital de hoje fica por aqui, mas volta na quarta-feira. Se você tem dúvidas, deixe na área de comentários. Sugestões de pautas, críticas ou elogios também podem ser escritos. Todos os comentários são lidos. Até a próxima!
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda