BT

Disseminando conhecimento e inovação em desenvolvimento de software corporativo.

Contribuir

Tópicos

Escolha a região

Início Notícias Mozilla propõe autenticação apenas com endereço de email

Mozilla propõe autenticação apenas com endereço de email

Um novo sistema de autenticação proposto pela fundação Mozilla, apelidado BrowserID, promete resolver as necessidades básicas de autenticação, mas o  sucesso desta tecnologia depende fortemente de sua adoção.

A fundação Mozilla quer simplificar o processo de autenticação em sites usando simplesmente um endereço de email, sem a necessidade de digitar um nome identificador ou senha. Esta nova solução de autenticação chama-se BrowserID. Com ela, um endereço de email é verificado previamente e apenas uma vez pelo provedor de email, através de um mecanismo qualquer, como hardware, biometria, chaves criptográficas ou, como é mais comum, enviando uma mensagem para o usuário solicitando que ele acesse um link de verificação. A partir de então, quando o usuário acessar um site, ele escolherá um email para identificar-se, a partir da lista de endereços previamente validados. Assim, o usuário será capaz de autenticar-se seguramente sem usar nomes de usuário, senhas ou popups de autenticação OpenID. Este processo de login proposto pelo BrowserID pode ser testado aqui.

O BrowserID é baseado em um novo protocolo, o Verified Email Protocol, que utiliza apenas o endereço de email para autenticação, ao invés de criar novas identidades para o usuário. O protocolo inicia-se quando o usuário obtém um endereço de email de um provedor que ele confie. Nesta ocasião o navegador poderá criar um par de chaves criptográficas e, se o provedor suportar o BrowserID, enviar-lhe a chave pública e armazenar a chave privada. Quando um site for acessado, o navegador apresenta ao usuário a lista de endereços previamente validados. O usuário então escolhe um dos endereços e o navegador envia para o site uma asserção de identidade assinada com a chave privada do endereço de email selecionado. O site então obtém a chave pública com o provedor daquele email e a utiliza para verificar identidade e autenticar o acesso. Neste processo, fica claro que o site precisa confiar no provedor de email.

Caso o provedor de email não queira implementar o protocolo ou não seja confiável, a chave pública do usuário pode ser armazenada por uma autoridade secundária. Esta página contém mais detalhes sobre o processo de autenticação e aborda outros tópicos relacionados, como por exemplo as asserções de identidade e expiração de chaves, sincronização em múltiplos dispositivos, endereços pseudônimos, etc.

Dan Mills, da Mozilla Labs, diz que o BrowserID é melhor que outros sistemas de autenticação porque ele "não expõe para nenhum outro servidor (nem mesmo aos servidores de BrowserID) informações sobre quais sites o usuário visita". Além disso, o BrowserID pode ser utilizado com qualquer navegador moderno, incluindo os navegadores móveis.  As atuais implementações foram desenvolvidas em HTML e Javascript, mas "o sistema foi projetado para ser integrado  de forma transparente em futuros navegadores".

Apesar dos desenvolvedores precisarem de pouco esforço para implementar BrowserID em um site, o projeto depende da adoção em larga escala por provedores de email ou autoridades secundárias. Atualmente o BrowserID é um projeto experimental e seu sucesso depende de como a web, especialmente os grandes sites e provedores, irão reagir à proposta da Mozilla. O BrowserID pode vir a ser uma solução simples para o complexo problema que é a autenticação, especialmente agora que o OpenID parece estar enfrentando alguns problemas.

Avalie esse artigo

Relevância
Estilo/Redação

Conteúdo educacional

BT