Blockchain e a guerra inglória pelo sign-on único
A próxima geração de soluções de sign-on único deverá substituir as senhas por credenciais verificáveis em blockchain
Gabriel Rubinsteinn
Publicado em 5 de fevereiro de 2021 às 18h33.
Última atualização em 8 de fevereiro de 2021 às 11h11.
Há alguns anos, comecei a utilizar gerenciadores de senhas. Com a minha velha e irritante obsessão de cancelar imediatamente qualquer serviço que deixo de consumir, decidi fazer o mesmo com as minhas credenciais (contas, logins, etc.), e, para a minha surpresa, percebi que ainda possuía mais de 100 senhas para salvar, mesmo sendo organizado.
Até aquele momento, não havia notado o fracasso retumbante da atual geração de soluções de sign-on único (ou SSO, na sigla em inglês) baseadas em SAML (Security Assertion Markup Language), OAuth e OpenID Connect. Todas elas falham miseravelmente em reduzir a média absurda de credenciais que precisam ser criadas, mantidas e canceladas pelos usuários.
A SAML, por exemplo, permite a utilização da mesma credencial validada por um “provedor de identidade” em vários websites, aplicativos móveis e dispositivos inteligentes chamados de “provedores de serviços”.
Algumas empresas, instituições de ensino, órgãos públicos e redes sociais ainda insistem em emitir as próprias credenciais. Provavelmente, para não compartilharem com seus concorrentes muitas informações sobre usuários.
A maioria dos usuários ainda tinha poucas credenciais quando a Sun Microsystems lançou a SAML em 2002, mas a tecnologia acabou sendo adotada rapidamente no mundo todo. A SAML continua sendo bem popular, sobretudo entre as grandes corporações e governos. Os serviços de segurança das nuvens da Oracle (Identity Cloud Service), da AWS (Cognito) e da Microsoft (Azure Active Directory), entre outros, suportam a SAML nativamente.
Outras tecnologias importantes são a OAuth e OpenID Connect, anunciadas pelo Twitter e Fundação OpenID nos anos 2010, que também não demoraram para se difundirem. Talvez mais fortemente do que a SAML entre startups e pequenas e médias empresas, e, inclusive, para a autenticação entre aplicações (em vez de entre aplicações e usuários), como no caso de APIs.
Quando eu ainda esperava o sucesso da SAML, OAuth e OpenID Connect, ficava frustrado em ver que a maior parte dos clientes não alterava ou configurava os milhares de sistemas internos para as soluções de SSO que eles até já utilizavam para alguns sistemas-chave, como os de gestão empresarial (ou ERPs, na sigla em inglês).
Além disso, achava inaceitável eu conseguir me autenticar com a mesma conta nos serviços da Google, mas não nos do Facebook, LinkedIn e outras plataformas rivais.
O futuro normal
A próxima geração de soluções de SSO será baseada nas emergentes tecnologias de identidade autossoberana (ou SSI, na sigla em inglês), principalmente as credenciais verificáveis e os identificadores descentralizados (ou DIDs, na sigla em inglês) baseadas em blockchain.
Essas credenciais poderão ser controladas (trocadas, canceladas, etc.) pelos próprios usuários por meio de novas carteiras digitais (digital wallets), similares à Apple Pay e Google Pay. As credenciais verificáveis e identificadores descentralizados estão sendo criados no World Wide Web Consortium (W3C) pela ConsenSys (a empresa líder de desenvolvimento de soluções empresariais com a rede Ethereum), Evernym e Transmute, esta última participante do programa de startups da Oracle.
A Fundação Sovrin, criada pela Evernym em 2016, chegou a lançar uma blockchain especial para SSI, chamada Sovrin Network. Além disso, ela iniciou os projetos de código aberto Hyperledger Indy e Hyperledger Aries, que foram utilizados pela Deloitte, Serpro e outros pioneiros em sua adoção. Porém, a fundação precisou demitir os funcionários em março do ano passado, após não ter conseguido o alto financiamento necessário para cunhar um novo criptoativo que seria utilizado para remunerar os participantes da rede.
Atualmente, a melhor alternativa à Sovrin Network parece ser a rede Ethereum, que, afinal de contas, já tem quase 10 mil nós e continua atraindo pelo menos quatro vezes mais desenvolvedores do que a Bitcoin, Polkadot e outras blockchains.
Para acelerar a utilização da Ethereum para SSI, a Transmute iniciou, em agosto de 2019, o projeto de código aberto Element, apoiado pela ConsenSys e pela Microsoft. Ela utiliza o protocolo Sidetree para criar redes de sobreposição (também conhecidas como soluções de segunda camada) que oferecem a alta capacidade de processamento e baixo custo de transação (ou gás) que serão fundamentais para gerenciar credenciais verificáveis na Ethereum.
O protocolo Sidetree também está em desenvolvimento pela ConsenSys, Microsoft e Transmute na Decentralized Identity Foundation (DIF).
Identidade autossoberana é o futuro
Depois de muitos anos, estou bem convencido de que a melhor maneira de gerenciar as minhas senhas será substituí-las por outras credenciais, sob meu próprio controle, baseadas em infraestruturas descentralizadas e não influenciadas por interesses comerciais de nenhum emissor.
Porém, existem desafios significativos para a adoção de identidade autossoberana.
Para começar, os clientes – sejam eles emissores ou somente verificadores – terão que compatibilizar os sistemas com as novas tecnologias que estão sendo desenvolvidas pelos pioneiros do setor. Depois, os usuários terão que instalar novas carteiras digitais para manipular as credenciais verificáveis nos celulares.
De qualquer forma, eu acredito que esse tipo de identidade será normalizada no futuro próximo.
Com o crescimento acelerado da transformação digital do trabalho e da vida pessoal, não paramos de gerar novas credenciais, embora não tenhamos o tempo necessário para mantê-las.
Afinal, não vamos deixar de aproveitar os benefícios do ambiente digital porque esquecemos a senha... de novo!
As opiniões expressas aqui são de responsabilidade do autor e não refletem necessariamente as opiniões da Oracle.
Há alguns anos, comecei a utilizar gerenciadores de senhas. Com a minha velha e irritante obsessão de cancelar imediatamente qualquer serviço que deixo de consumir, decidi fazer o mesmo com as minhas credenciais (contas, logins, etc.), e, para a minha surpresa, percebi que ainda possuía mais de 100 senhas para salvar, mesmo sendo organizado.
Até aquele momento, não havia notado o fracasso retumbante da atual geração de soluções de sign-on único (ou SSO, na sigla em inglês) baseadas em SAML (Security Assertion Markup Language), OAuth e OpenID Connect. Todas elas falham miseravelmente em reduzir a média absurda de credenciais que precisam ser criadas, mantidas e canceladas pelos usuários.
A SAML, por exemplo, permite a utilização da mesma credencial validada por um “provedor de identidade” em vários websites, aplicativos móveis e dispositivos inteligentes chamados de “provedores de serviços”.
Algumas empresas, instituições de ensino, órgãos públicos e redes sociais ainda insistem em emitir as próprias credenciais. Provavelmente, para não compartilharem com seus concorrentes muitas informações sobre usuários.
A maioria dos usuários ainda tinha poucas credenciais quando a Sun Microsystems lançou a SAML em 2002, mas a tecnologia acabou sendo adotada rapidamente no mundo todo. A SAML continua sendo bem popular, sobretudo entre as grandes corporações e governos. Os serviços de segurança das nuvens da Oracle (Identity Cloud Service), da AWS (Cognito) e da Microsoft (Azure Active Directory), entre outros, suportam a SAML nativamente.
Outras tecnologias importantes são a OAuth e OpenID Connect, anunciadas pelo Twitter e Fundação OpenID nos anos 2010, que também não demoraram para se difundirem. Talvez mais fortemente do que a SAML entre startups e pequenas e médias empresas, e, inclusive, para a autenticação entre aplicações (em vez de entre aplicações e usuários), como no caso de APIs.
Quando eu ainda esperava o sucesso da SAML, OAuth e OpenID Connect, ficava frustrado em ver que a maior parte dos clientes não alterava ou configurava os milhares de sistemas internos para as soluções de SSO que eles até já utilizavam para alguns sistemas-chave, como os de gestão empresarial (ou ERPs, na sigla em inglês).
Além disso, achava inaceitável eu conseguir me autenticar com a mesma conta nos serviços da Google, mas não nos do Facebook, LinkedIn e outras plataformas rivais.
O futuro normal
A próxima geração de soluções de SSO será baseada nas emergentes tecnologias de identidade autossoberana (ou SSI, na sigla em inglês), principalmente as credenciais verificáveis e os identificadores descentralizados (ou DIDs, na sigla em inglês) baseadas em blockchain.
Essas credenciais poderão ser controladas (trocadas, canceladas, etc.) pelos próprios usuários por meio de novas carteiras digitais (digital wallets), similares à Apple Pay e Google Pay. As credenciais verificáveis e identificadores descentralizados estão sendo criados no World Wide Web Consortium (W3C) pela ConsenSys (a empresa líder de desenvolvimento de soluções empresariais com a rede Ethereum), Evernym e Transmute, esta última participante do programa de startups da Oracle.
A Fundação Sovrin, criada pela Evernym em 2016, chegou a lançar uma blockchain especial para SSI, chamada Sovrin Network. Além disso, ela iniciou os projetos de código aberto Hyperledger Indy e Hyperledger Aries, que foram utilizados pela Deloitte, Serpro e outros pioneiros em sua adoção. Porém, a fundação precisou demitir os funcionários em março do ano passado, após não ter conseguido o alto financiamento necessário para cunhar um novo criptoativo que seria utilizado para remunerar os participantes da rede.
Atualmente, a melhor alternativa à Sovrin Network parece ser a rede Ethereum, que, afinal de contas, já tem quase 10 mil nós e continua atraindo pelo menos quatro vezes mais desenvolvedores do que a Bitcoin, Polkadot e outras blockchains.
Para acelerar a utilização da Ethereum para SSI, a Transmute iniciou, em agosto de 2019, o projeto de código aberto Element, apoiado pela ConsenSys e pela Microsoft. Ela utiliza o protocolo Sidetree para criar redes de sobreposição (também conhecidas como soluções de segunda camada) que oferecem a alta capacidade de processamento e baixo custo de transação (ou gás) que serão fundamentais para gerenciar credenciais verificáveis na Ethereum.
O protocolo Sidetree também está em desenvolvimento pela ConsenSys, Microsoft e Transmute na Decentralized Identity Foundation (DIF).
Identidade autossoberana é o futuro
Depois de muitos anos, estou bem convencido de que a melhor maneira de gerenciar as minhas senhas será substituí-las por outras credenciais, sob meu próprio controle, baseadas em infraestruturas descentralizadas e não influenciadas por interesses comerciais de nenhum emissor.
Porém, existem desafios significativos para a adoção de identidade autossoberana.
Para começar, os clientes – sejam eles emissores ou somente verificadores – terão que compatibilizar os sistemas com as novas tecnologias que estão sendo desenvolvidas pelos pioneiros do setor. Depois, os usuários terão que instalar novas carteiras digitais para manipular as credenciais verificáveis nos celulares.
De qualquer forma, eu acredito que esse tipo de identidade será normalizada no futuro próximo.
Com o crescimento acelerado da transformação digital do trabalho e da vida pessoal, não paramos de gerar novas credenciais, embora não tenhamos o tempo necessário para mantê-las.
Afinal, não vamos deixar de aproveitar os benefícios do ambiente digital porque esquecemos a senha... de novo!
As opiniões expressas aqui são de responsabilidade do autor e não refletem necessariamente as opiniões da Oracle.