BrowserID procura ser alternativa ao OpenID e Facebook Connect.
Modelo promete privacidade e acesso rápido, mas tem limitações.



A Mozilla está testando o BrowserID, um novo modelo de “senha universal” – ou seja, uma senha que você pode usar em vários sites sem precisar se cadastrar em cada página separadamente. Nesse modelo, o usuário cede apenas um e-mail e uma senha. Sites que usam esse modelo podem fazer o login do usuário com apenas dois cliques – uma na página e um de confirmação do login. O modelo é uma alternativa ao OpenID – outro login universal. O detalhe é que você provavelmente já tem um OpenID, o que torna a universalidade da Mozilla “menos universal”.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.


Uma das vantagens do BrowserID, da Mozilla, está
na facilidade de uso, tanto pelos usuários como
desenvolvedores de sites

Os dois maiores provedores de senhas universais atualmente são o OpenID e o Facebook Connect, que permite logins com seu usuário do Facebook. Se você nunca ouviu falar no OpenID, talvez conheça o Google, o Yahoo, o MySpace, a AOL e o WordPress.com. Contas em qualquer um desses provedores de serviços podem ser usadas como logins do OpenID, desde que da forma correta. Por exemplo, o WordPress.com usa como login o endereço do blog cadastrado, o Google usa o endereço do Google Profile, e o Yahoo pode ser usado em interface separada ou com o endereço da galeria do Flickr.

Já o BrowserID da Mozilla sempre utiliza um endereço de e-mail como nome de usuário. Isso significa que os sites acessados terão acesso a essa informação.

Para a Mozilla, o endereço de e-mail validado é importante para que sempre exista uma possibilidade de comunicação. Além disso, as pessoas estão acostumadas a utilizarem “identidades” no endereço de e-mail – um e-mail, pessoal, um para trabalho e assim por diante.

É claro que também existem limitações. Embora ainda seja apenas um experimento, o BrowserID não traz nenhuma informação sobre o usuário como endereço físico e a idade. Isso significa que sites que precisam dessas informações não terão muita utilidade para o BrowserID – o usuário terá de cadastrar essas informações separadamente em cada site que for usar. A única informação que será dispensada é a senha.


Mesmo com o apoio de grandes provedores de
internet, a reutilização de logins do OpenID ainda
não faz parte da rotina da maioria dos internautas

Outro problema é que o endereço de e-mail até pode ser válido – porque o BrowserID valida o e-mail antes de completar o cadastro –, mas isso não impede o endereço de ser genérico ou falso, criando uma falsa impressão para o site que aceitar essa plataforma. Será necessário criar mecanismos para rejeitar provedores de e-mail de modo a evitar contas fantasmas.

O OpenID hoje sofre do mesmo problema – e pior ainda, porque alguns OpenIDs não podem sequer fornecer o e-mail, como o BrowserID o faz, e apenas um nome de usuário que, em muitos casos, não diz nada sobre o internauta.

O BrowserID ganha em conveniência: basta dar um clique para fazer o login e outro para confirmar – você estará imediatamente logado. A Mozilla criou o site My Favorite Beer para demonstrar o BrowserID gravando o nome da cerveja favorita do internauta.

Um cadastro é mais do que um usuário e uma
senha – é todo o conjunto de informações que o
site precisa para prestar serviços ao internauta

Plano dos EUA
Tanto o BrowserID como o OpenID são muito menos ambiciosos que o plano de identidade dos EUA, que prevê um protocolo que deve permitir o acesso sem senha e, ainda assim, garantindo que mais informações estejam acessíveis para os sites, reduzindo a necessidade do preenchimento de qualquer informação de cadastro. Ou seja, uma loja on-line não terá de pedir seu endereço, você apenas precisa autorizá-la a ter acesso a essa informação.

O plano dos EUA pretende atingir esse objetivo sem sacrificar a privacidade do internauta, semelhante ao BrowserID, e quer permitir a existência de diversos provedores de identidade, cada um deles fornecendo informações diferentes – como é o caso do OpenID. Tudo isso sem um ponto central de falha ou controle do governo.

Por outro lado, o BrowserID e o OpenID são reais, enquanto plano norte-americano ainda é apenas um conjunto de ideias que ainda nem se sabe ao certo como serão realizadas na prática. Isso não significa que o BrowserID e o OpenID sejam úteis – muitos usuários ainda não usam essas plataformas e os sites que mais dependem de cadastros de usuários, como lojas on-line, provavelmente não vão querer adotá-los, já que terão de criar um cadastro próprio para o consumidor com as informações que necessitam.

É por esse motivo que muitos usuários estão usando mais o Facebook Connect do que o OpenID, apesar deste último ter sido criado em 2005. O Facebook consegue fornecer uma série básica de informações sobre seus usuários e os sites que o utilizarem sabem que podem contar com isso. No OpenID, não fica claro quais informações estarão disponíveis para o site.

O único modelo que realmente resolve esses problemas é o americano, mas ele ainda está muito longe de se transformar em realidade. Por enquanto é bom continuar tomando cuidado com suas várias senhas e até anotando-as em lugar seguro para não esquecer. É bem provável que elas ainda ficarão conosco por algum tempo e que a rotina de preencher formulários de cadastro não vai desaparecer.

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.


fonte: g1