O mercado de autenticação de usuários que conhecemos está prestes a mudar. Existe um dispositivo digital que possui mais usuários do que qualquer outro, e que é utilizado ao redor do mundo todo, seja em área rurais remotas ou em grandes cidades. Se você pensou no celular, você acertou! Agora, não seria ótimo se você pudesse potencializar o uso de seu celular, que está sempre ao seu alcance e quase nunca sai do seu lado, para autenticar e acessar quaisquer serviços online de maneira rápida e segura? Com o Mobile Connect, isso é possível.
GSMA e Mobile Connect
A GSMA representa os interestes de operadoras móveis globalmente e possui diversos grupos de trabalho, responsáveis por desenvolver diferentes tecnologias móveis e definir as melhores práticas e padrões do mercado. Abaixo do grupo de trabalho de Personal Data, existe um programa chamado Mobile Connect. O Mobile Connect é baseado no protocolo OpenID Connect, sendo capaz de criar um ecossistema global e federado de identidades móveis. A seguir, entenderemos melhor o que isso significa.
Mobile Connect é Global
Em algumas partes do mundo, o celular é usado como um dispositivo muito básico. Já em outros locais, você verá muitas pessoas utilizando esse dispositivo para tirar fotos, fazer vídeos, checar mensagens no Facebook e redes sociais, e-mails corporativos e pessoais ou, ainda, tentando avançar novas fases de jogos. O aspecto global do Mobile Connect leva todos esses cenários em consideração, permitindo que as operadoras escolham o método de autenticação de usuário mais apropriado para cada caso. Os dispositivos mais básicos podem utilizar uma autenticação simples e baseada em SMS ou cartões SIM, enquanto que, para aqueles mais avançados, podem ser usados aplicativos ou impressão digital para autenticar o acesso dos usuários aos serviços online.
Mas o que é um autenticador? Um autenticador é a parte da tecnologia que oferece os meios através dos quais o usuário final estabelecerá sua identidade e, para isso, o usuário estará sempre associado a um número de telefone (ou MSISDN). Essa é a primeira ação inteligente do Mobile Connect, uma vez que o MSISDN é considerado como sendo um único atributo ou identificador.
Então, como funciona o processo de autenticação? O usuário se conectará a um serviço online (apps, sites de e-commerce, online banking, etc), informando seu número de telefone e, este número (ou MSISDN) será enviado à GSMA através do aplicativo "IDP Discovery" para que seja possível identificar a operadora de telefonia móvel utilizada. O IDP Discovery, então, retornará ao provedor de serviço o nome da operadora, permitindo a solicitação do método de autenticação adequado. Assim, de acordo com o nível do aplicativo, a operadora enviará a solicitação de autenticação para o usuário, usando um dos diferentes métodos disponíveis (cartão SIM, SMS, impressão digital, etc). Dependendo da operadora, haverá diferentes métodos de autenticação disponíveis aos usuários. Para o usuário final, esse processo será ainda mais simples: digitando apenas o seu número de telefone, ele receberá uma solicitação de autenticação de sua operadora.
Como a comunicação entre os provedores de serviços online e as operadoras é padronizada, a conexão entre eles é direta e feita em escala global.
Mobile Connect é Federado
A segunda vantagem do Mobile Connect está em seu aspecto federado. Federação é a tecnologia (e os contratos) que permitem que usuários naveguem entre domínios independentes, sem a necessidade de realizar novas autenticações, ou seja, usando uma única identidade. No conceito do Mobile Connect, o usuário de uma operadora móvel no Brasil, por exemplo, poderá acessar um serviço online nos Estados Unidos. A API que proporciona essa capacidade se chama descoberta de serviço ou, em inglês, discovery service.
Num cenário normal, o provedor de serviços online está conectado ao GSMA Discovery Service e à operadora. A API de descoberta de serviço fornece uma tela de login para que o usuário final informe o seu número de telefone. Agora, a parte mágica: a API checará o número de telefone na GSMA e descobrirá que pertence à uma operadora no Brasil, encaminhando o pedido de autenticação à operadora local. Essa operadora, então, enviará o pedido de autenticação para o usuário do dispositivo móvel, permitindo que ele se autentique. Simples assim!
Acesso e Autenticação do Assinante
Quando a operadora decide implementar o Mobile Connect, primeiramente ela precisará construir a infraestrutura, em que será criado o portal de acesso de identidades e definidos os autenticadores apropriados para os seus assinantes. Esse processo pode ser feito de maneira fácil, usando o Portal de Identidades da GlobalSign como uma solução de gestão, que pode ser implementado em até 2 horas após receber a ligação da operadora. Agora, existe uma maneira mais difícil, complexa e custosa de realizar esse processo: fazendo-o internamente. Para a implementação interna será necessário criar um time de desenvolvimento, passar por testes de conformidade, além de manter essa solução alinhada aos protocolos e constantemente atualizada frente às funcionalidades adicionadas ao longo do tempo.
O próximo passo é definir o(s) autenticador(es). O autenticador selecionado depende do mercado e do que os assinantes podem utilizar. Existem opções de autenticadores que funcionam em tecnologias baseadas em SMS e que não requerem instalações adicionais nos telefones dos usuários. Outra categoria é um autenticador baseado em cartões SIM, nos quais será preciso instalar uma aplicação, que também pode utilizar uma comunicação baseada em SMS. Aplicações SIM mais avançadas, por exemplo operações baseadas em PKI, normalmente requerem um novo cartão SIM. Isso significa que o assinante deverá ir até a loja da operadora para trocar o seu cartão SIM, porém eles continuarão usando SMS para fazer a autenticação entre o servidor e o dispositivo móvel.
O custo para implementar um autenticador é um importante fator a ser considerado. SAA (Aplicações Autenticadoras de Smartphone) e autenticadores baseados em SMS possuem custo de implementação zero para a operadora. Já a autenticação baseada em um cliente SIM, usando tecnologias diferentes de PKI, requer o envio de um grande volume de mensagens SMS e, se usuário precisar trocar seu cartão SIM indo à uma loja física da operadora, o custo será ainda maior, entre 10-20 dólares em média por usuário.
Nível de Confiança
Dependendo do autenticador selecionado, o método será identificado por um número, em uma escala de 1 a 4, que refletirá o Nível de Confiança (ou, em inglês, Level of Assurance - LoA) do autenticador. Um autenticador multifatorial possuirá um número alto, por ser considerado o mais forte, enquanto autenticadores que solicitam um simples clique “ok” no celular terão um número menor. Provedores de serviços online podem solicitar um nível de confiança específico para autenticar os usuários finais.
É importante ressaltar que, neste momento, o Nível de Confiança do Mobile Connect descreve apenas a força do método de autenticação, não da identidade. A força da identidade está relacionada ao processo de registro por si só e como o assinante foi verificado quando adquiriu seu plano para utilizar o dispositivo móvel. Em alguns mercados, planos pré-pagos podem ser adquiridos sem qualquer verificação de identidade; em contrapartida, planos pós-pagos, na maioria das vezes, requerem algum tipo de verificação de identidade.
Em resumo, o Mobile Connect tem o potencial de se transformar no método global para autenticação de usuários online. Na próxima parte deste post, falaremos sobre os benefícios do Mobile Connect para usuários finais, provedores de serviço e operadoras de redes móveis, e como começar a usar essa solução.