Escovar os dentes… e higiene digital

O mesmo se verifica em relação à higiene digital. Existem milhares de milhões de utilizadores e milhões de empresas que dependem hoje da Internet para aceder e transacionar com milhões de fornecedores de serviços digitais. Cada vez mais, os utilizadores estão a transferir os seus dados para a Cloud. Cada vez que o fazem, fornecem um pequeno subgrupo da sua Identidade Digital. É como se espalhassem centenas de cópias do cartão de cidadão ou do cartão de crédito. A pegada digital está em todo o lado.

A forma como a Identidade é construída na Internet está errada

No seu estado atual, é má para os utilizadores: temos um conflito constante cada vez que precisamos de nos registar, fazer log in, ou checkout. Os utilizadores não têm ideia dos dados que estão realmente a ser recolhidos porque, para além dos dados pessoais que voluntariamente disponibilizam, os fornecedores de serviços vão obter mais detalhes, como a localização geográfica, o tipo de dispositivo, o histórico de navegação... Obviamente, muitas empresas dependem da rentabilização destes dados, quer diretamente quer indiretamente. E isto torna-se incontrolável assim que centenas de cópias da nossa Identidade Digital estejam espalhadas pela Cloud.

Isto também é mau para os fornecedores de serviços digitais. O conflito do login ou do checkout é uma questão-chave de um negócio. A regulamentação está a criar riscos e responsabilidades crescentes para esses fornecedores através de políticas como o RPGD e a regulamentação de cookies. Os consumidores estão a tornar-se cada vez mais cautelosos em relação aos fornecedores, sentindo que a Internet se tornou num lugar perigoso. Infelizmente, está a piorar para todos.

As pessoas utilizam mais dispositivos do que nunca (em média, três ou mais). O número de contas digitais aumenta todos os anos. O número de violações em massa está a aumentar. Todos os dias, as notícias estão cheias de histórias sobre fornecedores a serem pirateados e sobre dados de utilizadores a serem divulgados. Encontrar soluções é uma corrida contra o tempo, contra os hackers, mas também contra as big tech.

Apesar dos riscos, a maioria dos utilizadores da Internet ainda recorre a métodos rudimentares para gerir a sua Identidade Digital:

1. Apenas 15% dos americanos utilizam gestores de passwords, com base num inquérito que realizamos em 2020.
2. Quase 70% dos utilizadores da Internet redefinem as suas passwords pelo menos mensalmente, e 18% fazem-no semanalmente.

Poucos tomam qualquer medida para salvaguardar a sua Identidade. Coletivamente, parece que desistimos, e aceitamos que as coisas são assim. Isto, na verdade, parece-se com a forma como lidamos com a nossa higiene oral: conhecemos os riscos, conhecemos as melhores práticas e, embora possamos aprender a reduzir esses riscos, não temos a coragem nem a disciplina para lhes fazer face.

De um ponto de vista técnico, a Identidade Digital nunca fez parte dos fundamentos da Internet. Os blocos técnicos de construção (HTML, CSS, JavaScript) não incluíam uma solução padronizada para autenticar e tratar componentes da Identidade online. Se pensarmos na evolução da tecnologia web, a Identidade nunca fez parte.

Na altura em que a utilização da Internet aumentou, já era tarde demais. Houve um ponto de inflexão em 2007 com o aparecimento dos smartphones, que multiplicaram os pontos de acesso à Internet. As estimativas apontavam para 50 mil milhões de dispositivos conectados em 2020, tendo todos que lidar com alguma forma de Identidade ou autenticação. São 50 mil milhões de possíveis pontos de falha onde os dados dos utilizadores podem estar em risco.

A Identidade Digital é um sistema fragmentado

A verdade é que este é um problema difícil de resolver. A Identidade Digital deve ser universal. Deveria ser agnóstica de qualquer fornecedor e trabalhar em plataforma cruzada. Tal como podemos utilizar o passaporte para viajar para qualquer país do mundo, devíamos ter um equivalente digital. Mas a Internet é totalmente fragmentada e as big tech não o podem resolver sozinhas. Estão concentradas em proteger o seu próprio “território" e não em resolver a questão mais vasta.

Isto é semelhante no mundo dos pagamentos, que também está largamente fragmentado com dinheiro, cartões de crédito, cheques, pagamentos online e, mais recentemente, criptomoedas.

Métodos biométricos - como a utilização das impressões digitais ou o reconhecimento facial - podem ser uma potencial solução para esta fragmentação, mas há algumas questões:

1. Os sistemas biométricos podem ser falsificados.
2. Uma vez comprometidos os dados biométricos, o que podemos fazer?
3. A biometria é uma solução específica para um dispositivo. Ainda não surgiu nenhum protocolo padrão ou partilhado.
4. No final, apenas se resolve uma pequena parte dos casos de utilização em torno da autenticação; não o caso de utilização mais ampla da Identidade Digital.

Outra esperança era que esses mecanismos centralizados, tais como o Facebook Connect ou o Login com Google, pudessem ser a solução. Trata-se definitivamente de uma conveniência para os utilizadores, mas implica confiar nas big tech, “colocando todos os ovos no mesmo cesto”.

As recentes violações mostraram os limites de um modelo de Identidade centralizado. O tamanho do alvo ao centralizar a Identidade Digital de milhões e milhões de utilizadores faz com que seja apenas uma questão de tempo antes de haver uma violação massiva.

Algumas das minhas próprias passwords foram divulgadas no passado, na fuga da Dropbox ou na mais recente fuga do Linkedin. Felizmente para mim, nessa altura já tinha começado a prestar atenção à minha higiene digital. Hoje, tenho mais de mil passwords únicas. Não as conheço. Lembro-me apenas da minha password principal, a chave do meu cofre digital. Para mim, isto limita o potencial impacto dessas violações (só preciso de atualizar a password atacada).

O problema é que os utilizadores podem não se preocupar. Ouvem constantemente falar de violações que, tal como acontece com as notícias sobre as alterações climáticas, acabam por deixar de lhes dar a devida atenção.

Há também ceticismo quanto a potenciais soluções. Nenhuma solução é perfeita. Os carros elétricos, por exemplo, não vão ser suficientes para resolver a crise das alterações climáticas. Assim como os gestores de passwords também não são uma solução mágica, mas são melhor do que nada. A arquitetura de zero-conhecimento assegura-nos a proteção enquanto utilizador. Esta solução é descentralizada por conceção e é independente em qualquer ecossistema, funcionando em todas as plataformas de uma forma universal. 

Acredito que é importante ser independente das big tech e ter uma escolha. Sim, podemos ser a Suíça da Identidade Digital.

Como se parece o futuro da Identidade Digital?

No mercado atual, existem três tendências principais que visam resolver o problema da Identidade Digital:

1. A emergência de protocolos de Identidade normalizados. A Apple e a Google criaram as suas próprias soluções para iOS e Android. Mas estamos muito longe de soluções universais.
2. As empresas estão a fazer protótipos de sistemas descentralizados de Identidade. Existem conceitos como Identidade autosoberana, o conceito de que um indivíduo deve possuir e controlar a sua Identidade sem as autoridades administrativas intervenientes. Os programadores também jogam com a tecnologia Blockchain em torno da Identidade Digital.
3. Finalmente, algumas soluções de terceiros, como gestores de passwords e SSO empresariais, tentam tornar-se "fornecedores de Identidade Digital", mas ainda hoje este é um nicho de mercado.

Nenhuma delas é perfeita. Nenhuma delas é universal. As soluções técnicas não serão suficientes para reparar uma Identidade Digital dispersa. Precisamos de soluções mais simples, fáceis de utilizar e que possam ser adotadas por todos. Segurança e tecnologia não podem ser o único trigger.

Começar a ter o controlo e a melhorar a higiene digital

Gostaria de partilhar o que eu faço, encorajando todos a avançarem e a começarem a dar pequenos passos para a higiene digital:

1. Utilizo um gestor de passwords, obviamente.
2. Utilizo um web browser mais seguro e melhor para a privacidade, como o Brave.
3. Deixei de utilizar o motor de busca Google. Na verdade, decidi usar a Ecosia, mais pelo impacto ecológico, mas existem outros motores de busca à escolha, centrados na privacidade.
4. Apaguei a minha conta no Facebook há algum tempo, e migrei do WhatsApp para o Signal.
5. Afastei-me do Gmail, e estou a utilizar o Fastmail, um fornecedor de correio eletrónico independente.

Ao fazê-lo, passo a passo, estou a recuperar o controlo da minha Identidade Digital. Todos o podem fazer também e ajudar-nos a corrigir e tornar a Internet num lugar mais seguro.

Se me permitem, gostaria de utilizar um paralelismo provocador no mundo pandémico de hoje. A humanidade tem sido capaz de se livrar de doenças, tais como a varíola, através de campanhas massivas de vacinação. Espero que possamos fazer o mesmo com a Identidade Digital. Já é altura de começar a escovar os dentes.