BT

Mozilla propõe autenticação apenas com endereço de email

por Abel Avram , traduzido por Julio Faerman em 19 Jul 2011 |

Um novo sistema de autenticação proposto pela fundação Mozilla, apelidado BrowserID, promete resolver as necessidades básicas de autenticação, mas o  sucesso desta tecnologia depende fortemente de sua adoção.

A fundação Mozilla quer simplificar o processo de autenticação em sites usando simplesmente um endereço de email, sem a necessidade de digitar um nome identificador ou senha. Esta nova solução de autenticação chama-se BrowserID. Com ela, um endereço de email é verificado previamente e apenas uma vez pelo provedor de email, através de um mecanismo qualquer, como hardware, biometria, chaves criptográficas ou, como é mais comum, enviando uma mensagem para o usuário solicitando que ele acesse um link de verificação. A partir de então, quando o usuário acessar um site, ele escolherá um email para identificar-se, a partir da lista de endereços previamente validados. Assim, o usuário será capaz de autenticar-se seguramente sem usar nomes de usuário, senhas ou popups de autenticação OpenID. Este processo de login proposto pelo BrowserID pode ser testado aqui.

O BrowserID é baseado em um novo protocolo, o Verified Email Protocol, que utiliza apenas o endereço de email para autenticação, ao invés de criar novas identidades para o usuário. O protocolo inicia-se quando o usuário obtém um endereço de email de um provedor que ele confie. Nesta ocasião o navegador poderá criar um par de chaves criptográficas e, se o provedor suportar o BrowserID, enviar-lhe a chave pública e armazenar a chave privada. Quando um site for acessado, o navegador apresenta ao usuário a lista de endereços previamente validados. O usuário então escolhe um dos endereços e o navegador envia para o site uma asserção de identidade assinada com a chave privada do endereço de email selecionado. O site então obtém a chave pública com o provedor daquele email e a utiliza para verificar identidade e autenticar o acesso. Neste processo, fica claro que o site precisa confiar no provedor de email.

Caso o provedor de email não queira implementar o protocolo ou não seja confiável, a chave pública do usuário pode ser armazenada por uma autoridade secundária. Esta página contém mais detalhes sobre o processo de autenticação e aborda outros tópicos relacionados, como por exemplo as asserções de identidade e expiração de chaves, sincronização em múltiplos dispositivos, endereços pseudônimos, etc.

Dan Mills, da Mozilla Labs, diz que o BrowserID é melhor que outros sistemas de autenticação porque ele "não expõe para nenhum outro servidor (nem mesmo aos servidores de BrowserID) informações sobre quais sites o usuário visita". Além disso, o BrowserID pode ser utilizado com qualquer navegador moderno, incluindo os navegadores móveis.  As atuais implementações foram desenvolvidas em HTML e Javascript, mas "o sistema foi projetado para ser integrado  de forma transparente em futuros navegadores".

Apesar dos desenvolvedores precisarem de pouco esforço para implementar BrowserID em um site, o projeto depende da adoção em larga escala por provedores de email ou autoridades secundárias. Atualmente o BrowserID é um projeto experimental e seu sucesso depende de como a web, especialmente os grandes sites e provedores, irão reagir à proposta da Mozilla. O BrowserID pode vir a ser uma solução simples para o complexo problema que é a autenticação, especialmente agora que o OpenID parece estar enfrentando alguns problemas.

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber menssagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber menssagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber menssagens dessa discussão

Dê sua opinião

Conteúdo educacional

Feedback geral
Bugs
Publicidade
Editorial
InfoQ Brasil e todo o seu conteúdo: todos os direitos reservados. © 2006-2013 C4Media Inc.
Política de privacidade
BT