Home  >  Inovação

Como acabar com as senhas? Blockchain é a resposta

Tecnologia está sendo testada para identidades soberanas

Lucas Mearian, Computerworld EUA

04/01/2019 às 8h30

Blockchain o fim das senhas
Foto:

Imagine uma empresa que possa verificar o histórico de um novo funcionário e integrá-lo com o clique de um único botão virtual ou com um cliente bancário que possa verificar a identidade para um empréstimo sem expor informações pessoalmente identificáveis ​​- novamente com um clique de botão.

Esse é o potencial que o blockchain detém para gerenciamento de identidade descentralizada. Isso é feito criando uma carteira digital que serve como um repositório para todos os tipos de dados pessoais e financeiros, informações que só podem ser compartilhadas após uma solicitação específica e somente com a permissão do proprietário.

A tecnologia blockchain de contabilidade distribuída (DLT) - em combinação com verificação de identidade digital - tem o potencial de resolver problemas de privacidade on-line que afetam desde as vendas ao consumidor e os regulamentos bancários a credenciais de funcionários que permitem acesso a sistemas comerciais confidenciais.

"Há vários fornecedores nesse espaço que estão no estágio inicial de P&D ou testam seus produtos em projetos-piloto. É muito cedo para declarar qualquer vencedor, por qualquer meio, porque apenas ter um produto em funcionamento não é suficiente. A identidade descentralizada requer um ecossistema vibrante, uma estrutura de confiança de identidade robusta construída em um ledger distribuído ou blockchain, ferramentas para suportar user-friendly funcionalidade e boa experiência de desenvolvedor para dar suporte à ampla adoção", explica Homan Farahmand, diretor sênior de Pesquisa do Gartner.

Um considerável atributo de segurança de armazenar identidades digitais em um livro-caixa distribuído e criptografado é eliminar repositórios centrais para informações de contas de clientes, de acordo com Julie Esser, diretora de engajamento da CULedger. Esses repositórios são os principais alvos dos hackers.

Testando gerenciamento de identidades

Como outros CUSOs, CULedger é uma cooperativa de propriedade de várias associações de crédito com o objetivo de fornecer serviços de back-office. Ela foi criada há um ano para desenvolver uma plataforma de gerenciamento de identidade baseada em blockchain chamada My CUID. A plataforma deverá ser lançada no segundo semestre de 2019 e entregará as chaves para proteção de dados aos clientes que se inscreverem em um aplicativo.

Em outubro, o CULedger começou a testar o My CUID com cinco outras cooperativas de crédito. Eliminou a necessidade de nomes de usuário e senhas e liberou os call centers das cooperativas de crédito da obrigação de redefini-los quando um cliente os perde.

Como funciona 

Um cliente novo ou atual, membro de uma cooperativa de crédito entra em contato com uma central de atendimento ao cliente, que envia uma mensagem de texto ao dispositivo móvel do cliente com um link para baixar o aplicativo My CUID.

Em seguida, o representante da cooperativa de crédito entrega ao cliente suas credenciais - uma carteira digital, que contém informações pessoalmente identificáveis ​​obtidas durante o contato inicial com o cliente. Essas informações são criptografadas e só podem ser acessadas com a autorização do membro, que é solicitada quando elas realizam uma transação.

Cada vez que um cliente usando o My CUID entra em contato com a cooperativa de crédito - ou vice-versa - o smartphone ou tablet recebe um diálogo pop-up solicitando que ele confirme sua associação antes que qualquer transação seja concluída.

"Você clica em OK ou Não OK. Não parece muito diferente do que acontece com outros aplicativos em um telefone. Tudo é baseado em canais criptografados que criamos, o que é muito legal. Você está criando um canal de comunicação seguro bidirecional. Então, não apenas sua cooperativa de crédito sabe que é com quem eles estão conversando, mas você também sabe que é a sua união de crédito chamando você”, explica Julie.

A CULedger estabeleceu uma meta de emissão de um milhão de identidades digitais para membros de cooperativas de crédito em 2019. Como as cooperativas de crédito devem cumprir as regulamentações federais do Know-Your-Customer, o serviço de ID digital baseado em blockchain também cumpriria a conformidade regulatória.

Além de dar ao cliente controle sobre sua identidade, entregando-lhes as chaves de criptografia blockchain, o aplicativo elimina a necessidade de nomes de usuário e senhas e reduz drasticamente o tempo que leva para um representante do call center de uma associação de crédito autenticar um membro.

Um representante pode levar de 60 a 90 segundos para autenticar um membro antes que uma transação seja iniciada. Isso pode ser reduzido para 5 segundos ou menos com My CUID, de acordo com a executiva. "Não é uma experiência agradável telefonar para um call center porque o cliente é recebido com 20 perguntas para identificar quem você é, então é um processo complicado que precisa ser corrigido”.

Tradicionalmente, as cooperativas de crédito e outras empresas de serviços financeiros contam com prestadores de serviços terceirizados para serviços de autenticação de call center e clientes, muitos dos quais localizados fora dos EUA. O CULedger colocaria o controle nas mãos das cooperativas de crédito membros.

Em 2019, a CULedger planeja começar a construir sua rede de permissão de produção. Atualmente, está considerando várias plataformas blockchain, incluindo o serviço Hyperledger Fabric, da IBM, e o Corda , da R3 , o maior consórcio comercial entre bancos, seguradoras e outras empresas de serviços financeiros. A CULedger também está pensando em trabalhar com a Hedera Foundation , criadora do Swirlds , uma plataforma de software para criação de aplicativos distribuídos (dApps).

O Swirlds é baseado no protocolo Hashgraph , um DLT adequado para o setor de serviços financeiros porque pode processar mais de 100.000 transações por segundo, ao contrário do bitcoin, que processa de três a quatro transações por segundo.

"Precisamos da capacidade de conduzir transações instantaneamente - em tempo real. Planejamos criar nossa própria plataforma, mas com o foco em uma peça de identificação descentralizada, isso nos permite não recriar a roda. Pode haver alguns aplicativos que exigem diferentes plataformas [blockchain]”, diz Julie.

Como funciona a identidade

Para os consumidores que estão conscientes de suas informações online - números de cartão de crédito, data de nascimento, renda anual etc - blockchain tem o potencial de identidades "autossoberanas" como CULedger está criando, ou seja, o usuário controla quem pode ver seus dados ou obter aprovação de compra sem liberar seus detalhes de renda.

As identidades autônomas funcionam assim: o usuário tem um banco que confirma um limite de crédito ou um empregador confirma o rendimento anual. Essa confirmação é então criptografada, mas disponível, em um ledger blockchain público no qual o consumidor mantém as chaves criptográficas privadas e públicas.

Se um comprador quer um empréstimo de carro de uma concessionária de automóveis, por exemplo, o consumidor pode dar a ele permissão por meio de uma chave pública para confirmar que tem crédito suficiente ou renda anual sem revelar um valor exato em dólar.

Assim, se o vendedor de automóveis quiser garantir que um consumidor ganhe mais de US$ 50 mil por ano, isso é tudo que o livro-razão blockchain confirmará (não que eles realmente ganhem US$ 72.587).

A técnica de confidencialidade é conhecida como prova de conhecimento zero (ZKP), uma tecnologia de criptografia que permite ao usuário provar que fundos, ativos ou informações de identificação existem sem revelar as informações por trás dele. A Ernst & Young criou um protótipo blockchain público que planeja lançar em 2019, para que as empresas usem ZKPs para concluir transações comerciais de forma confidencial. 

Em expansão

Farahmand, do Gartner, disse que identidades autônomas baseadas em registros distribuídos de blockchain estão sendo usadas para todos os tipos de usos das empresas, incluindo novos contratados.

Cada vez que um novo funcionário é contratado, um novo identificador descentralizado é gerado pelo empregado e passado para a empresa. Esse identificador pode então ser propagado dentro dos sistemas internos de autenticação de usuários para a rede corporativa e aplicativos.

"Isso pode ser uma proposta poderosa, pois acelera o processo de integração e as atividades subsequentes de gerenciamento do ciclo de vida da identidade, além de permitir autenticação sem senha. Também ajuda na convergência de várias pessoas relevantes para a organização", disse Farahmand, explicando que os IDs digitais podem ser usados ​​para acessar vários sistemas dentro de uma empresa com base em permissões baseadas na organização.

Um padrão de design popular para identidade descentralizada é composto por um identificador central e um conjunto de identificadores "emparelhados", cada um para um relacionamento que o usuário tenha com uma organização. Identificadores emparelhados são derivados criptograficamente do identificador central.

O identificador de pares permite que um sistema corporativo monitore exclusivamente a identidade de um usuário para cada relacionamento e potencialmente evite a correlação da atividade do usuário entre diferentes relacionamentos, permitindo princípios de privacidade por design no nível do protocolo.

Por exemplo, um funcionário do banco pode ser um cliente do banco ao mesmo tempo usando o mesmo ID de autossoberania. As duas personas são tipicamente representadas por duas identidades digitais em dois sistemas em silos - um como funcionário e outro como cliente do banco.

"No caso de um modelo de identidade descentralizado, a mesma pessoa pode ter dois conjuntos de identificadores mapeados para a mesma identidade digital central, o que pode potencialmente simplificar a reconciliação das atividades do usuário", frisa Farahmand.

Outro benefício é a capacidade de simplificar cenários B2B em que um funcionário de uma organização pode ter acesso a sistemas em outro. Se a organização anfitriã confiar na identidade descentralizada que é atestada pela organização convidada, então um novo identificador descentralizado por pares pode ser gerado para autenticar o usuário, simplificando a governança de acesso para clientes corporativos ou outros parceiros.