O problema do roubo de identidade não deve ser...

... endereçado pelo requisito de confidencialidade dos nossos dados pessoais. Porquê? Porque, actualmente, e cada vez mais no futuro, a informação estará distribuída por muitas bases de dados, por diversas entidades, e não fará sentido continuarmos a insistir, teimosamente, em aceitar esta informação como credencial válida para autenticação. E, por consequência, também não fará sentido insistir na necessidade de protegermos dados que, na verdade, já são públicos ou semi-públicos. Alguns exemplos:

  • Números de bilhetes de identidade, contribuinte, segurança social, entre outros? Nome da mãe e do pai? Morada lá de casa? Disseminados por múltiplas bases de dados, desde listas em espaços comerciais, passando pelos nossos empregadores, até aos sistemas de informação governamentais;
  • Fotografias? Não controlamos quem possa ter fotografias nossas. Os nossos amigos têm fotografias nossas. E os amigos deles também as têm, ou podem aceder-lhes. Mais: qualquer pessoa pode fotografar-nos, sem que tenhamos conhecimento, e difundir as pics como bem entender, anonimamente se quiser dissociar-se da origem;
  • Fotocópias de BIs? Das declarações de impostos, das contas da luz e da água? Nas instituições financeiras, nos supermercados, e até em alguns clubes de vídeo.

Acreditam mesmo que a protecção da informação é equivalente em todas estas entidades? Que será equivalente, alguma vez, no futuro? Pois...

Neste cenário, o que não podemos é continuar a usar estes dados como credenciais para autenticação. O roubo de identidade só é possível, hoje em dia, porque a autenticação depende de dados cuja confidencialidade não pode ser garantida, ou de mecanismos facilmente falsificáveis (alguém consegue distinguir, sem nenhuma dúvida, um bilhete de identidade genuíno de uma falsificação? Really?). O que tem que mudar, rapidamente, é a importância que damos ao conhecimento desta informação. O que tem que mudar, em suma, são os mecanismos de controlo utilizados para validar uma identidade.

O que temos que usar, no futuro, são mecanismos de autenticação forte, com dois ou três factores, eventualmente incluindo biométricos. É isto que tem que mudar. Porque a informação utilizada actualmente, essa, não vamos conseguir mantê-la em segredo.

Fica a nota para irem pensando nisto.