O que é identidade digital?

A identidade digital é a forma como um computador armazena um registro de uma pessoa ou sistema externo. Ela está intimamente relacionada à autenticação.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir identidade em um contexto de computação
  • Entender os três principais fatores de autenticação para verificação de identidade
  • Descrever o gerenciamento de identidade e acesso (IAM)

Copiar o link do artigo

O que é identidade digital?

No gerenciamento de acesso, a identidade digital é o conjunto registrado de características mensuráveis pelo qual um computador pode identificar uma entidade externa. Essa entidade pode ser uma pessoa, uma organização, um programa de software ou outro computador.

A identidade digital depende de atributos identificáveis por computador. Por exemplo, um computador pode identificar uma pessoa porque ela conhece uma senha ou sua voz ressoa em determinadas frequências. Um computador também pode identificar outro computador por seu endereço de IP ou endereço de controle de acesso à mídia (MAC).

Dois colegas de trabalho, o Jim e a Sharon, podem se reconhecer de vista. Mas um computador não sabe quem é o "Jim" ou quem é a "Sharon". Em vez disso, um computador armazena um perfil de usuário separado para o Jim e a Sharon, que inclui um nome, um conjunto de fatos sobre sua identidade e um conjunto de privilégios. E tem que verificar quem eles são por algum método mensurável, como se eles digitam ou não a senha correta. (É possível o Jim poderia se passar pela Sharon se souber o nome de usuário e a senha dela).

Observe que o termo "identidade digital" também pode se referir a um equivalente computadorizado de identificação pessoal emitida pelo governo — às vezes são chamados de "IDs digitais". Mas este artigo aborda a identidade digital no contexto dos sistemas de gerenciamento de acesso.

Quem possui uma identidade digital?

Quase todas as pessoas que usam computadores ou acessam a internet hoje têm alguma forma de identidade digital. Isso pode ser uma combinação de endereço de e-mail e senha, seu histórico de navegação na internet, seu histórico de compras e informações de cartão de crédito salvas por uma loja on-line ou características de identificação armazenadas em um sistema de gerenciamento de identidade e acesso (IAM).

Computadores e dispositivos de computação também têm uma forma de identidade. Os sistemas e protocolos de rede usam vários métodos diferentes para identificar esses dispositivos; por exemplo, muitos sistemas usam endereços de IP ou endereços MAC para essa finalidade. As organizações também têm características armazenadas que permitem que sistemas externos as reconheçam e interajam com elas. Pode-se dizer que até os endpoints* de API têm identidades digitais. Com uma API protegida adequadamente, os endpoints precisam provar quem são para fazer e receber solicitações de API.

*Uma API é uma maneira de um programa de software solicitar serviços de outro. Um endpoint de API é o ponto em que tal solicitação começa ou é recebida, como um programa de software ou um servidor de API.

Como a identidade se relaciona com o controle de acesso?

O controle de acesso define quais dados um usuário pode visualizar, alterar ou copiar. Como contadora, a Sharon pode ter acesso aos livros e ao sistema de folha de pagamento de sua empresa. Mas como vendedor, o Jim só precisa acessar o banco de dados de clientes e alguns outros sistemas e não deve ter acesso aos livros ou ao sistema de folha de pagamento. Seu empregador usa o controle de acesso para 1) identificar a Sharon e o Jim e 2) garantir que a Sharon possa acessar o sistema de folha de pagamento e o Jim não.

Como visto no exemplo, a identidade faz parte do que determina o acesso. Nesse caso, as identidades da Sharon e do Jim também estão associadas a funções específicas. O acesso não pode ser controlado adequadamente sem saber quem é a pessoa e qual é a sua função. Portanto, a autenticação é uma parte importante do controle de acesso.

O que é Autenticação?

Autenticação é o processo de verificação de identidade. Os sistemas de controle de acesso verificam uma ou mais características de usuários ou dispositivos para autenticá-los.

Existem três características principais ou "fatores" que a autenticação pode avaliar:

  1. Conhecimento: esse fator de autenticação é algo que o usuário sabe: por exemplo, digitar uma senha ou responder a uma pergunta de segurança (por exemplo, "Qual é o nome de solteira da sua mãe?" ). Alguns serviços, como bancos e agências de crédito, também podem solicitar que seus clientes forneçam informações pessoais adicionais, como endereço de correspondência ou número de identificação do governo, para verificar sua identidade.
  2. Posse: esse fator de autenticação é algo que o usuário possui — em outras palavras, envolve verificar se o usuário possui um token físico ou digital atribuído. Por exemplo, um sistema pode enviar um código de verificação para o smartphone de um usuário para verificar se ele possui o telefone ou pode solicitar que o usuário conecte um token de hardware em sua porta USB.
  3. Qualidades inerentes: esse fator de autenticação é algo que o usuário é; ele verifica as qualidades que são naturais do usuário. Alguns exemplos são varreduras de retina, reconhecimento facial e reconhecimento de voz.

Muitas vezes, vários desses fatores serão avaliados em conjunto, como na autenticação multifator (MFA).

Autenticação versus autorização

A autenticação difere da autorização, que se relaciona com as permissões que cada pessoa possui. No entanto, ambas dependem, pelo menos parcialmente, da identidade digital. Quem é uma pessoa normalmente ajuda a determinar o que ela pode fazer. Por exemplo, o CEO de uma empresa provavelmente está autorizado a acessar mais dados do que um funcionário de nível inferior. Saiba mais sobre autorização e autenticação.

Como a identidade digital de um usuário afeta sua privacidade?

A identidade digital geralmente depende do armazenamento e verificação de informações pessoais — por exemplo, seu endereço de e-mail, um registro de seu rosto (como no reconhecimento facial) ou fatos sobre sua vida (respostas a perguntas de segurança). Isso pode se tornar um problema de privacidade de dados se os dados pessoais vazarem, se pessoas não autorizadas visualizarem os dados ou se o usuário não estiver ciente de como seus dados pessoais são usados.

O que é Gerenciamento de Identidade e Acesso (IAM)?

O gerenciamento de identidade e acesso (IAM) inclui várias tecnologias que trabalham juntas para gerenciar e rastrear identidades digitais, juntamente com os privilégios associados a cada identidade. A identidade digital é fundamental para o IAM; sem alguma forma de saber quem é um usuário, uma organização não pode atribuir e restringir seus privilégios.

O IAM é extremamente importante para evitar perda de dados, ataques cibernéticos e outras ameaças. A autenticação forte ajuda a garantir que os invasores não possam se passar por um usuário legítimo. A autorização configurada corretamente limita o dano potencial se uma conta de usuário for de fato comprometida, porque o invasor ainda terá acesso apenas a alguns dados, não a todos os sistemas da organização.

O Zero Trust da Cloudflare é uma plataforma de segurança que permite que as organizações adotem uma abordagem Zero Trust para reconhecimento de identidade evitando ameaças. Ela se integra a várias soluções de login único (SSO) para verificar a identidade do usuário antes de conceder acesso aos aplicativos. Saiba mais sobre o Zero Trust da Cloudflare.