O BrowserID é um método, apresentado em julho de 2011, para usar endereços de e-mail para provar uma identidade e fazer login em um site de maneira rápida e segura..

O sistema foi desenvolvido pela Mozilla Labs.

Ele foi projetado para ser mais fácil e rápido do que o método existente de um site que envia um e-mail para você e você clica em um link para verificar sua verdadeira identidade.

Então, por que é importante e como vai funcionar? Nós decidimos descobrir.

P. Como isso funcionaria na prática??

R. Para fazer login em um site que suporte o BrowserID, basta clicar em um botão Entrar e selecionar em um menu o endereço de e-mail que deseja usar. Seu navegador e o site cuidariam de todo o resto.

P. E quanto ao login via Facebook, Twitter ou Google? Isso seria ainda mais rápido e simples, não seria?

R. Sim, quando você estiver navegando enquanto estiver conectado a qualquer um desses portais, não precisará fazer nada, pois qualquer site conectado a eles saberá imediatamente quem você é. E esse é o problema. A terceirização dessas tarefas para provedores privados gigantes cria muitos problemas de proteção de privacidade e bloqueio.

Q. Isso é certamente verdade, mas espere um segundo! O OpenID não deveria fornecer (mais ou menos) o mesmo serviço?

A. Realmente foi. Na prática, parece que o OpenID não conseguiu atingir a massa crítica por vários motivos. Provavelmente, o maior deles foi a necessidade de ir temporariamente para outro site para obter acesso ao que você queria visitar.

A menos que alguém compreenda realmente o valor dos serviços de autenticação on-line confiáveis ​​(e se preocupa com isso), isso é muito mais complicado do que simplesmente dizer a um navegador para lembrar todas as senhas ou clicar nas caixas Lembrar-me fornecidas pela maioria dos formulários da web de login. O BrowserID tenta fornecer o mesmo nível de segurança e confiança que o OpenID, mas de uma maneira muito mais transparente.

P. Fale mais sobre a proteção de privacidade no BrowserID, por favor.

R. Em primeiro lugar, ao contrário de outros sistemas de login, o BrowserID não força o usuário a compartilhar ou transmitir dados pessoais e confidenciais on-line, como a data de nascimento. Além disso, o BrowserID foi projetado para não passar a nenhum dado do servidor sobre quais páginas da Web você visita.

P. Por que o BrowserID é baseado em endereços de email??

R. Em primeiro lugar, porque todos os usuários da Web regularmente já têm pelo menos um endereço de e-mail e sabem que ele já é usado como um token de identidade e autorização. Em seguida, porque os endereços de email não são controlados ou controláveis ​​por nenhuma organização.

Finalmente, porque praticamente todos os sites que exigem que seus usuários façam login armazenem seus endereços de e-mail para lidar com comunicações diretas, solicitações de redefinição de senha e outros serviços: portanto, o BrowserID oferece uma maneira melhor de usar alguns dados de usuário para autenticação.

P. O BrowserID me impediria de usar meus apelidos favoritos nesses sites??

A. Não em todos. O endereço de email é usado apenas para a autenticação inicial. BrowserID não limita de forma alguma como um site permite que você configure sua conta local.

P. Eu poderia ter várias identidades de ID de navegador??

A. Claro. O único requisito é que cada um deles seja associado a um endereço de email diferente.

P. E quanto a outros aplicativos, como clientes de bate-papo? Eu poderia usar o BrowserID com eles também, ou é uma coisa só de navegador??

R. Sim, você pode, desde que esses programas implementem o protocolo e forneçam aos usuários uma interface para efetuar login no provedor de identidade para obter as chaves. Estes podem então ser armazenados no Kwallet ou qualquer outro gerenciador de senhas baseado em desktop..

P. Desculpe, que protocolo e chaves? O BrowserID é baseado em algum tipo de tecnologia proprietária??

R. Não. Tecnicamente falando, o BrowserID é uma aplicação do protocolo de e-mail verificado; um sistema de autenticação descentralizado baseado em criptografia de chave pública / privada, através do qual os usuários podem provar a um site que possuem um endereço de e-mail.

P. O BrowserID funciona em todos os navegadores?

O A. BrowserID pode funcionar em todos os navegadores modernos, incluindo os móveis. O único requisito é que esses navegadores sejam compatíveis com a API JavaScript do BrowserID. Dito isto, mesmo se você fosse forçado a usar um navegador incompatível, ainda seria possível usar um serviço baseado na Web equivalente.

P. O que devo fazer para começar a usar o BrowserID??

A. Você deve fazer o login da maneira antiga no website do seu provedor de identidade. Esse servidor informará ao seu navegador, por meio de uma API JavaScript, para gerar um par público / privado de chaves criptográficas.

Logo em seguida, o navegador enviará a chave pública ao provedor de identidade e receberá um certificado de identidade assinado. O navegador armazenará a chave privada e o certificado como faria com as senhas tradicionais.

P. O que aconteceria a seguir, quando eu visitar um site compatível com o BrowserID??

R. Esse site dirá ao seu navegador para executar uma função JavaScript que pergunta se você deseja fazer login e com qual identidade - que é o endereço de email.

Q. E quando eu aceito…

R. O navegador enviará ao site o certificado de identidade, assinado com a chave privada. Nesse ponto, o site baixará sua chave pública do seu provedor de identidade e verificará se a assinatura é autêntica.

P. E é assim que eu vou provar para esse site que eu realmente sou quem eu digo que sou?

R. Sim e não. O que este procedimento fornece é uma confirmação de terceiros (ao contrário do que acontece com os cookies!) De que a solicitação de autenticação vem de um navegador que possui a chave secreta associada ao endereço de e-mail fornecido. O que significa que…

P. Eu nunca deveria deixar outras pessoas usarem meu navegador!

A. Isso é absolutamente verdade. No entanto, esse é o mesmo risco que você já enfrenta com qualquer outro sistema de autenticação que não force você a digitar uma senha toda vez, não é??

P. Suponho que isso seja verdade, mas isso também significa que não serei capaz de autenticar de outros navegadores,?

A. Depende. Isso é realmente com você. Por si só, BrowserID permite que você tenha um certificado para cada computador ou smartphone que você usa, incluindo os emprestados ou públicos, como quiosques de internet. É claro que, nesses casos, você teria que excluir a chave privada e o certificado assim que terminasse!

P. Vamos voltar aos provedores de identidade. Você continua mencionando-os - quem são eles?

A. No cenário mais simples e natural, seu provedor de identidade do BrowserID seria seu provedor de e-mail.

P. E se não suportar o sistema??

A. Você ainda pode usar, sem problemas, um provedor de identidade secundário confiável que ofereça os mesmos serviços. A Mozilla Foundation, por exemplo, criou um site chamado BrowserID.org para esse propósito, a fim de acelerar o teste e a adoção do BrowserID..

Q. Ah, sim, adoção. Qual é o status atual do BrowserID? Alguém já está usando?

R. No momento de escrever este artigo (final de novembro), o BrowserID ainda está em sua infância. A maioria dos desenvolvedores de navegador não anunciou nenhum plano oficial para integrar o suporte ao BrowserID em seu software. Esse não é o principal problema, embora.

Q. Realmente? Então o que é?

R. A verdadeira questão em aberto é se e quando os principais provedores de email e comunidades online, como o Facebook e o Twitter, oferecerão suporte ao BrowserID - que se tornará provedores de identidade. Especialmente quando, como o Facebook, eles têm sua própria alternativa interna.

Além disso, todos esses provedores precisariam concordar com uma maneira padrão de tornar as chaves públicas acessíveis. Felizmente, nada disso torna impossível tentar o BrowserID ou implementá-lo em seu site.

Isso é legal. Como posso experimentar hoje??

R. No momento, a melhor maneira de ver como é o uso do BrowserID é visitar o site de demonstração oficial em Myfavoritebeer.org.

P. E os webmasters??

Se eles usam software popular de código aberto, como o WordPress ou o Drupal, têm sorte: os plug-ins do BrowserID para esses sistemas de gerenciamento de conteúdo já existem.

Alternativamente, eles teriam que seguir as instruções para os desenvolvedores publicados em browserid.org. Mesmo nesse caso, porém, eles seriam capazes de usar o BrowserID sem ter que escrever qualquer código de autenticação sozinhos..

--------------------------------------------------------------------------------------------------

Publicado pela primeira vez no formato Linux Edição 154