Escolha ID em vez de IP. Por favor.

Eu tiro muitas fotos. Às vezes estou usando WiFi. Outras vezes estou no lago (pescando, se você precisa saber) e usando minha conexão de celular. Mesma casa. Mesma localização.

E ainda assim as informações de geolocalização incorporadas nas fotos tiradas no mesmo local variam dependendo se estou usando Wi-Fi ou celular. Às vezes estou “perto de Wrightstown”. Outras vezes não. Quando estou em uma máquina com fio, fica ainda mais louco. Enquanto escrevo isso, estou marcado como estando em Appleton, WI. Que fica a cerca de 20 milhas ao sul daqui. Meu iPhone, na mesma mesa, me diz que estou na cidade de Lawrence (correto). Uma foto que enviei para o Facebook diz que estou perto de Wrightstown, a cerca de 8 a 16 quilômetros de distância.

Nem é preciso dizer que todos nós sabemos que a geolocalização com base em endereço IP pode ser tanto arte quanto ciência às vezes. Tendo trabalhado na área de SIG (há muito tempo, quando ainda me era permitido programar), estou bem ciente da ginástica matemática necessária para mapear coordenadas para nomes de lugares com precisão, sem introduzir a precisão questionável de um endereço IP. Considere esta situação extraordinária encontrada devido aos caprichos da geocodificação por IP:

O MaxMind compara endereços IP, que são usados para conectar dispositivos à internet, com locais físicos. Ele disse que essas informações não pretendem ser precisas.

James e Theresa Arnold dizem que o site registrou sua casa como o local de mais de 600 milhões de endereços.

Eles dizem que isso levou muitas pessoas a acreditarem erroneamente que uma série de crimes foram cometidos na propriedade.

"Na primeira semana após a mudança dos Arnolds, dois policiais do Departamento do Xerife do Condado de Butler foram à residência procurando por uma caminhonete roubada. Esse cenário se repetiu inúmeras vezes nos cinco anos seguintes", dizem os documentos protocolados em um tribunal do Kansas.

http://www.bbc.com/news/technology-37048521

Estou feliz por não ser o Arnolds*. E embora esse caso seja extraordinário, ele ilustra que a dependência do endereço IP não é necessariamente uma boa ideia – especialmente se você o estiver usando, em parte, para autorizar o acesso a aplicativos.

Sabemos que muitas instituições financeiras, em particular, confiam no endereço IP tanto quanto no dispositivo para verificar a validade das tentativas de login. Isso é bom se você usa quase sempre o mesmo dispositivo no mesmo lugar, porque seu endereço IP não muda muito. Mas para aplicativos móveis, que são cada vez mais “a maneira” como as pessoas se comunicam com os clientes, isso pode ser problemático. Meu endereço IP muda conforme eu percorro a rede, sem mencionar que às vezes isso acontece mesmo quando não estou conectado, devido às limitações de alcance do WiFi fora de casa. 

De qualquer forma, o endereço IP como meio de identificação já perdeu sua utilidade há muito tempo. Antigamente, todos que usavam essa conexão de banda larga tinham seu próprio IP, pois o obtinham diretamente do provedor, via DHCP. Mas isso aconteceu como o Dodô quando os dispositivos conectados à Internet em uma casa superaram em número as pessoas. De acordo com pesquisas recentes , “existem agora 734 milhões em uso nos EUA Casas com Internet, com média de 7,8 dispositivos conectados por casa.” Isso é o dobro da média de 3,14 pessoas por domicílio nos EUA em 2015 .

O que significa que a noção de um endereço IP por pessoa (e agora) é uma opção amplamente insustentável, dado o número limitado de endereços IP públicos IPv4 que os provedores têm para distribuir. Em geral, todos usam apenas um IP público por domicílio e todos os outros são roteados por meio dessa pequena caixa preta.

A PI, como meio de identificação autorizada, está morta.

Credenciais, sejam elas tokens, nome de usuário/senha ou algum outro método até então desconhecido, são o melhor meio de identificar – e, portanto, autenticar – usuários. Também é a melhor maneira de proteger aplicativos hoje em dia, dado o abuso de endereços IP em diversos ataques. Quando posso falsificar meu IP tão facilmente quanto meu agente de usuário, não é uma boa ideia considerá-lo uma fonte confiável de informações.

Nem é apropriado usá-lo para listas de permissão ou negação, porque, honestamente, endereços IP podem ser alterados em questão de segundos na Internet. Dezenas de milhões de endereços IP são rotineiramente identificados como participantes de ataques DDoS. Alguns intencionalmente, outros por acaso, visitando o site errado ou comprando o dispositivo errado. O bloqueio por endereço IP causa dores de cabeça aos consumidores. Usar a reputação de IP daqui para frente não será tão eficaz quanto já foi, antigamente, quando a Internet era jovem, inocente e cheia de pessoas com boas intenções. Agora que a Internet está velha, cansada e cheia de invasores que têm a mesma probabilidade de abusar dos seus dispositivos como de qualquer outra coisa, precisamos procurar outra coisa.

Precisamos migrar para a identidade como o novo firewall, para proteger o novo perímetro que é o aplicativo. Seja por meio de federação ou do gerenciamento tradicional de identidade corporativa, precisamos confiar mais na ID do que no IP para proteger nossos negócios sem fronteiras e fornecer acesso a um conjunto cada vez mais móvel de usuários, tanto corporativos quanto consumidores.

* Curiosamente, a família da minha mãe é Arnolds. Não há relação, tenho certeza, mas então novamente…