As credenciais digitais oferecem uma forma segura de verificar a identidade de uma pessoa em um sistema computacional. Selos digitais, certificados digitais e outras credenciais on-line permitem que os usuários se autentiquem sem precisar carregar documentos físicos, como carteira de motorista ou crachá corporativo.
As credenciais digitais também podem comprovar habilidades e conquistas específicas de uma pessoa, como a conclusão de um curso ou programa de graduação. Diversas organizações utilizam essas credenciais, incluindo empresas, instituições sem fins lucrativos, universidades e fornecedores de treinamento.
Na área de cibersegurança, as credenciais digitais ajudam a reduzir o risco de ataques cibernéticos baseados em identidade. Atualmente, os agentes de ameaças costumam achar mais fácil sequestrar contas válidas do que invadir um sistema. O IBM X-Force Threat Intelligence Index descobriu que o uso indevido de contas válidas é o ponto de entrada mais comum dos cibercriminosos nos ambientes das vítimas, representando 30% de todos os incidentes.
As credenciais digitais podem substituir senhas e outros fatores de autenticação que hackers conseguem violar com facilidade. Assumir o controle de uma conta exigiria que o atacante roubasse a credencial digital, o que é bem mais complexo do que forçar uma senha. As credenciais digitais também são difíceis de falsificar, pois geralmente contam com mecanismos como criptografia ou verificação baseada em blockchain.
Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.
Normalmente, as organizações emissoras projetam, criam, distribuem, gerenciam e revogam credenciais digitais por meio de uma plataforma de credenciais digitais com nível empresarial.
As interfaces de programação de aplicativos (APIs) permitem que essas plataformas se conectem a outros serviços para que as credenciais possam verificar a identidade do usuário em vários sistemas. Em alguns casos, os usuários podem compartilhar suas credenciais manualmente por meio de links, códigos QR, arquivos digitais, aplicativos ou via blockchain.
As credenciais digitais estão disponíveis em várias formas, especializadas para diferentes ambientes e funções. Os tipos comuns incluem:
Selos digitais são frequentemente utilizados como comprovação de uma credencial obtida, como a conclusão de um curso. Eles também podem servir como prova de identidade ou de participação em eventos e conferências.
Selos digitais geralmente são apresentados como uma imagem ou ícone digital contendo metadados, como o nome do emissor, dados do destinatário, informações sobre o distintivo e métodos de verificação. Os selos são geralmente autenticados usando assinaturas criptográficas.
As microcredenciais são um tipo de selo digital usado para validar conquistas de menor escala, como a conclusão de um webinar ou módulos individuais de cursos on-line. As microcredenciais permitem que os alunos se concentrem nos módulos específicos de um curso maior que oferecem os resultados de aprendizagem ou desenvolvimento profissional mais relevantes.
Open Badges são selos digitais que seguem o padrão Open Badges, desenvolvido originalmente pela Mozilla Foundation. Esse padrão permite a interoperabilidade dos selos em um ecossistema de sites e aplicações, incluindo redes sociais como o LinkedIn e assinaturas de e-mail.
O padrão define um formato comum de metadados e métodos para compartilhá-los, como a incorporação desses dados em uma imagem. Ele também inclui um mecanismo para validar os selos por meio de assinaturas criptográficas.
O termo “certificado digital” pode se referir a dois tipos distintos de credenciais: as que comprovam conquistas pessoais e as que autenticam usuários e dispositivos.
Certificados digitais voltados a conquistas representam, em geral, os mesmos tipos de competência que os certificados em papel, como diplomas. Uma das principais diferenças entre selos digitais e certificados é que os certificados geralmente envolvem mais esforço, como concluir um programa de graduação em uma instituição educacional, concluir um programa de certificação profissional ou obter associação em uma organização profissional.
Alguns tipos de certificados digitais são usados para identificar e autenticar usuários, servidores, serviços, computadores, smartphones e dispositivos de Internet das Coisas (IoT). Esses certificados são emitidos por uma autoridade certificadora confiável e contêm identificadores únicos do titular, utilizados para verificar sua identidade. Os certificados digitais usam criptografia de chave pública para autenticar certificados e evitar roubo ou falsificação.
Algumas organizações e emissores de credenciais utilizam tecnologia blockchain, um registro compartilhado e imutável, para garantir que as credenciais não sejam falsificadas ou roubadas. Credenciais digitais armazenadas em blockchain não podem ser alteradas e podem ser verificadas por qualquer pessoa com acesso, o que aumenta a confiança entre todos os stakeholders.
A credencial digital é gerada por quem a emite, como universidades ou times de segurança empresarial, com o objetivo de certificar a identidade ou as qualificações do portador. Os detalhes da credencial são registrados no blockchain.
O titular armazena sua credencial em uma carteira digital. Quando o titular precisa comprovar sua identidade ou outra informação, ele apresenta a credencial digital. A parte verificadora, ou seja, quem precisa autenticar o titular, pode consultar a credencial no registro público da blockchain para confirmar sua validade.
Credenciais digitais verificáveis não são exatamente um tipo separado de credencial, mas sim uma abordagem voltada à criação de credenciais seguras e confiáveis. Credenciais verificáveis são aquelas que incluem um mecanismo interno de verificação, como um código QR escaneável ou uma assinatura criptográfica de uma autoridade confiável.
Qualquer um dos outros tipos de credenciais mencionados aqui pode ser considerado uma credencial digital verificável, desde que atenda a esse requisito.
Algumas credenciais digitais verificáveis cumprem a norma Verifiable Credentials do World Wide Web Consortium. Essas credenciais adotam uma abordagem estruturada com o uso de JSON ou JSON-LD para definir características como ID do emissor, atributos do titular e prova criptográfica para autenticação da credencial.
As credenciais digitais podem facilitar os processos de verificação em diversos contextos, como ambientes corporativos, atendimento ao cliente e sistemas legais.
Por exemplo, com credenciais armazenadas em um aplicativo no celular, uma pessoa pode comprovar sua identidade em aeroportos, abordagens policiais ou ao comprar bebidas alcoólicas. O Estado de Nova York lançou um aplicativo de identidade digital exatamente como esse, em cooperação com a Administração de Segurança de Transportes dos EUA (TSA).1
No setor financeiro, as credenciais digitais podem fortalecer e simplificar a verificação de identidade para atividades como transferências financeiras e gerenciamento de contas. As credenciais à prova de adulteração podem ser mais convenientes e mais confiáveis do que senhas ou outros fatores de autenticação, que podem ser falsificados ou roubados.
No setor público, as credenciais digitais permitem que os cidadãos se identifiquem para receber benefícios e declarar impostos. Os governos podem confiar que esses cidadãos são quem dizem ser antes de divulgar informações ou prestar serviços.
As credenciais digitais também podem representar licenças e certificações profissionais, permitindo que os indivíduos comprovem suas qualificações e competências com facilidade diante de possíveis empregadores.
As credenciais podem validar praticamente qualquer avaliação, programa de certificação ou experiência de aprendizagem profissional, desde boot camps de programação até licenças médicas. Universidades e faculdades podem empregar essas credenciais para certificar diplomas e títulos acadêmicos.
Alguns candidatos a emprego, sem muitos escrúpulos, já foram flagrados fabricando conquistas. Ao exigir credenciais digitais verificáveis como comprovação, os empregadores conseguem identificar essas fraudes.
As credenciais digitais contribuem para o compartilhamento de dados de forma compatível com normas de privacidade de dados, como o Regulamento Geral de Proteção de Dados (GDPR) e a lei de portabilidade e responsabilidade de planos de saúde (HIPAA).
Por exemplo, algumas credenciais digitais permitem o compartilhamento seletivo de informações. Considere uma credencial digital em um ambiente de saúde, que pode conter dados sobre a identidade, a cobertura do seguro, os dados demográficos e o histórico médico do paciente.
Com o compartilhamento seletivo, o paciente pode usar a credencial para confirmar a cobertura do plano sem revelar seu histórico médico. A mesma credencial também pode ser usada para confirmar o status de vacinação ou o histórico de prescrições. Em cada situação, apenas as informações necessárias são compartilhadas. Dados irrelevantes permanecem privados, o que protege o titular da credencial e ajuda a organização a cumprir as normas de privacidade de dados.
As credenciais são geralmente vistas como um método para verificar a identidade de uma pessoa, mas também podem ser usadas para autenticar ativos e Recursos.
Por exemplo, uma empresa pode usar um blockchain para credenciar seus produtos. As credenciais podem incluir informações como país de origem, qualidade do produto, dados de conformidade regulatória e muito mais. Pessoas e organizações podem usar essas credenciais baseadas em blockchain para verificar a autenticidade dos produtos e combater a falsificação.
Credenciais digitais verificáveis podem ajudar a fortalecer os sistemas de gerenciamento de acesso e identidade (IAM).
Os sistemas de IAM dependem de fatores de autenticação, como senhas e chaves de segurança, para verificar a identidade dos usuários e conceder as permissões de acesso adequadas. No entanto, agentes mal-intencionados podem roubar ou falsificar esses fatores com certa facilidade, obtendo e explorando permissões indevidas.
As credenciais digitais oferecem uma alternativa. Essas credenciais podem ser compartilhadas automaticamente e verificadas com segurança por meio de assinaturas criptográficas, concedendo acesso a usuários autorizados e bloqueando credenciais falsas ou roubadas.
As credenciais digitais também podem tornar a verificação de identidade mais rápida e quase sem atritos em comparação com as credenciais tradicionais.
Quando integradas a sistemas e fluxos de trabalho existentes, as credenciais digitais eliminam a necessidade de memorizar dados ou portar objetos ou dispositivos específicos. Em vez disso, eles podem compartilhar credenciais digitais por meio de APIs, links e códigos QR, tornando a autenticação quase automática.
A inteligência artificial (IA) e o aprendizado de máquina (ML) podem ajudar a acelerar ainda mais a verificação de identidade, por exemplo, cruzando automaticamente dados de credenciais com bancos de dados confiáveis e procurando sinais de adulteração.
As organizações também podem terceirizar a administração de credenciais para um serviço de terceiros, como o Credly, para economizar mais tempo e custos.
As credenciais digitais também podem simplificar o gerenciamento de acesso e identidade do cliente (CIAM), aprimorando a experiência do usuário (UX).
Em vez de processos de login complicados, os clientes podem usar credenciais digitais para se autenticar e obter acesso às suas contas. Esse processo mais conveniente tem o potencial de incentivar mais inscrições de usuários. Os clientes geralmente estão mais dispostos a se registrar em uma organização se a barreira para isso for baixa.
As organizações e instituições educacionais que concedem credenciais podem encerrar suas operações, o que pode dificultar a Verify de credenciais impressas, como diplomas.
As credenciais digitais, no entanto, podem ser autenticadas de forma independente, especialmente se usarem métodos descentralizados, como um blockchain.— Eles podem permanecer utilizáveis e confiáveis por muito tempo após o fechamento das instituições emissoras.